Résolu - PC infecté - Potential Spyware Operation

[GLH]

Bonjour,

 

PC infecté.

 

Affichage aux 5 minutes de message Potential Spyware Operation

J

e n'ai plus accès au gestionnaire de tâches ni à la configuration des programmes.

 

Voici le fichier HijackThis.

 

 

Merci à l'avance si vous pouvez m'aider.

 

GLH

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:05:17, on 2007-11-24

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\msanton.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\ALCWZRD.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Program Files\HP\HP Software Update\HPWuSchd.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\wuauclt.exe

C:\PROGRA~1\WINZIP\winzip32.exe

C:\Program Files\Webroot\Spy Sweeper\SSU.EXE

C:\Download\Spyware\Hijack\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.novem.ca/Novem_accueil_fichiers/slide0005.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\msanton.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [AVG7_CC] "C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" /STARTUP

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [version] C:\WINDOWS\system32\timoty.exe

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray

O4 - HKCU\..\Run: [spybotSD TeaTimer] "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"

O4 - HKCU\..\Run: [froody] C:\WINDOWS\system32\timoty.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: setings.exe

O4 - Global Startup: startup.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

 

--

End of file - 6250 bytes

Modifié le 2 décembre 2007 par GLH

[bruce lee]

Bonjour GLH et bienvenue sur zebulon

 

1/Télécharger http://siri.urz.free.fr/Fix/SmitfraudFix.exe ou ici: http://siri.geekstogo.com/SmitfraudFix.exe (de S!Ri) sur ton bureau

 

 

2/Double cliquer sur smitfraudfix.exe

 

Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.

sauvegarde ce rapport et poste le

[GLH]

Bonjour GLH et bienvenue sur zebulon

 

1/Télécharger http://siri.urz.free.fr/Fix/SmitfraudFix.exe ou ici: http://siri.geekstogo.com/SmitfraudFix.exe (de S!Ri) sur ton bureau

2/Double cliquer sur smitfraudfix.exe

 

Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.

sauvegarde ce rapport et poste le

[GLH]

Bonjour GLH et bienvenue sur zebulon

 

1/Télécharger http://siri.urz.free.fr/Fix/SmitfraudFix.exe ou ici: http://siri.geekstogo.com/SmitfraudFix.exe (de S!Ri) sur ton bureau

2/Double cliquer sur smitfraudfix.exe

 

Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.

sauvegarde ce rapport et poste le

[GLH]

Bonjour GLH et bienvenue sur zebulon

 

1/Télécharger http://siri.urz.free.fr/Fix/SmitfraudFix.exe ou ici: http://siri.geekstogo.com/SmitfraudFix.exe (de S!Ri) sur ton bureau

2/Double cliquer sur smitfraudfix.exe

 

Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.

sauvegarde ce rapport et poste le

 

 

 

Bonjour Bru Lee,

 

Voici le rapport via smitfraudfix

 

Merci

 

P.S. désolé pour les 2 réponses vide. C'est mon erreur de débutant....

 

 

SmitFraudFix v2.254

 

Rapport fait à 7:23:04,01, 2007-11-25

Executé à partir de C:\Download\Spyware\Smitfraud\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\msanton.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\ALCWZRD.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Program Files\HP\HP Software Update\HPWuSchd.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Webroot\Spy Sweeper\SSU.EXE

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\profil1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\profil1\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\profil1\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: WebSTAR DPX USB Cable Modem Adapter - Miniport d'ordonnancement de paquets

DNS Server Search Order: 24.200.241.37

DNS Server Search Order: 24.201.245.77

DNS Server Search Order: 24.200.243.189

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{22F396DE-0056-4B62-87FB-504F35026341}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189

HKLM\SYSTEM\CS1\Services\Tcpip\..\{22F396DE-0056-4B62-87FB-504F35026341}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189

HKLM\SYSTEM\CS2\Services\Tcpip\..\{22F396DE-0056-4B62-87FB-504F35026341}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

[bruce lee]

Re,

 

1. Télécharge combofix.exe (par sUBs) ici :

 

http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe

 

http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe

 

sur ton Bureau.

 

2. Double clique sur combofix.exe puis tape 1 pour lancer le scan.

3. Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

[GLH]

Re,

 

1. Télécharge combofix.exe (par sUBs) ici :

 

http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe

 

http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe

 

sur ton Bureau.

 

2. Double clique sur combofix.exe puis tape 1 pour lancer le scan.

3. Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

 

 

Rebonjour,

 

Voici le rapport via Combofix

 

Merci.

 

GLH

 

ComboFix 07-11-19.3 - profil1 2007-11-25 12:05:07.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.120 [GMT -5:00]

Running from: C:\Documents and Settings\profil1\Bureau\ComboFix.exe

.

 

((((((((((((((((((((((((((((( Fichiers créés 2007-10-25 to 2007-11-25 ))))))))))))))))))))))))))))))))))))

.

 

2007-11-24 12:58 <REP> d-------- C:\Documents and Settings\NetworkService\Application Data\Webroot

2007-11-24 11:27 20,280 --a------ C:\WINDOWS\system32\drivers\SSFS0BB9.sys

2007-11-24 11:26 1,526,072 --a------ C:\WINDOWS\WRSetup.dll

2007-11-24 11:14 <REP> d-------- C:\Program Files\Webroot

2007-11-24 11:14 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\Webroot

2007-11-24 11:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Webroot

2007-11-24 11:14 163,640 --a------ C:\WINDOWS\system32\drivers\ssidrv.sys

2007-11-24 11:14 23,864 --a------ C:\WINDOWS\system32\drivers\sskbfd.sys

2007-11-24 11:14 21,816 --a------ C:\WINDOWS\system32\drivers\sshrmd.sys

2007-11-24 11:12 <REP> d-------- C:\Documents and Settings\profil1\Application Data\Webroot

2007-11-24 00:00 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Grisoft

2007-11-23 23:43 <REP> d-------- C:\Documents and Settings\profil1\Application Data\Grisoft

2007-11-23 23:42 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

2007-11-23 22:25 <REP> d-------- C:\Program Files\RegistrySmart

2007-11-23 22:25 <REP> d-------- C:\Documents and Settings\profil1\Application Data\RegistrySmart

2007-11-23 20:47 <REP> d-------- C:\Program Files\Yahoo!

2007-11-23 20:47 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion

2007-11-23 20:46 <REP> d-------- C:\Program Files\CCleaner

2007-11-23 16:54 <REP> d-ah----- C:\Documents and Settings\Administrateur\Voisinage réseau

2007-11-23 16:54 <REP> d-ah----- C:\Documents and Settings\Administrateur\Voisinage d'impression

2007-11-23 16:54 <REP> d-ah----- C:\Documents and Settings\Administrateur\Modèles

2007-11-23 16:54 <REP> d-a------ C:\Documents and Settings\Administrateur\Mes documents

2007-11-23 16:54 <REP> d-a------ C:\Documents and Settings\Administrateur\Menu Démarrer

2007-11-23 16:54 <REP> d-a------ C:\Documents and Settings\Administrateur\Favoris

2007-11-23 16:54 <REP> d-a------ C:\Documents and Settings\Administrateur\Bureau

2007-11-23 16:54 <REP> d-a------ C:\Documents and Settings\Administrateur\Application Data\Symantec

2007-11-23 16:54 <REP> d-a------ C:\Documents and Settings\Administrateur\Application Data\CyberLink

2007-11-22 23:19 289,280 --a------ C:\WINDOWS\system32\libcurl.dll

2007-11-22 23:19 6,144 --a------ C:\WINDOWS\system32\msanton.exe

2007-11-22 23:14 <REP> d-------- C:\Documents and Settings\profil1\Application Data\TrojanHunter

2007-11-22 22:40 <REP> d-------- C:\Program Files\TrojanHunter 5.0

2007-11-22 21:09 8,116 --a------ C:\WINDOWS\system32\sol852.txt

2007-11-22 21:06 15,872 --a------ C:\WINDOWS\windisk.dll

2007-11-22 20:48 28,417 --a------ C:\WINDOWS\trayicons.exe

2007-11-18 14:21 28,417 --a------ C:\Documents and Settings\profil1\wn852.exe

2007-10-28 14:18 9 --a------ C:\WINDOWS\system32\client.sid

2007-10-28 14:15 <REP> d-------- C:\WINDOWS\MaxTV

2007-10-28 14:15 <REP> d-------- C:\Program Files\DMV

2007-10-27 06:35 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer

2007-10-27 06:34 <REP> d-------- C:\Program Files\Apple Software Update

2007-10-27 06:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple

2007-10-27 06:24 <REP> d-------- C:\Program Files\QuickTime

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-11-25 01:31 --------- d-----w C:\Program Files\adslTV

2007-11-24 23:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\AVG7

2007-11-24 19:04 --------- d-----w C:\Documents and Settings\profil1\Application Data\wsInspector

2007-11-24 17:03 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2007-11-24 04:42 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft

2007-11-23 04:19 6,144 ----a-w C:\WINDOWS\system32\timoty.exe

2007-11-18 16:48 --------- d-----w C:\Documents and Settings\profil1\Application Data\Skype

2007-11-08 12:45 --------- d-----w C:\Documents and Settings\profil1\Application Data\AdobeUM

2007-10-28 19:41 --------- d-----w C:\Documents and Settings\profil1\Application Data\vlc

2007-10-19 22:03 --------- d-----w C:\Program Files\Windows Media Connect 2

2007-10-16 01:42 --------- d-----w C:\Program Files\Fichiers communs\NSV

2007-10-16 00:54 --------- d-----w C:\Program Files\Fichiers communs\Nullsoft

2007-10-08 22:03 --------- d-----w C:\Program Files\Skype

2007-10-08 22:03 --------- d-----w C:\Program Files\Fichiers communs\Skype

2007-10-08 22:03 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype

2007-10-08 20:37 --------- d-----w C:\Program Files\PhotoCam

2007-10-08 19:41 --------- d-----w C:\Program Files\AutoWebCam

2007-10-08 19:40 --------- d-----w C:\Program Files\STOIK Imaging

2007-10-08 19:40 --------- d-----w C:\Documents and Settings\profil1\Application Data\STOIK

2007-10-08 18:23 --------- d--h--w C:\Program Files\InstallShield Installation Information

2007-09-21 18:47 202,826 ----a-w C:\WINDOWS\system32\atasnt40.dll

2003-04-24 12:00 94,864 --sh--w C:\WINDOWS\twain.dll

2004-08-19 23:09 50,688 --sh--w C:\WINDOWS\twain_32.dll

2004-08-19 23:09 1,028,096 --sh--w C:\WINDOWS\system32\mfc42.dll

2004-08-19 23:09 54,784 --sh--w C:\WINDOWS\system32\msvcirt.dll

2004-08-19 23:09 413,696 --sh--w C:\WINDOWS\system32\msvcp60.dll

2004-08-19 23:09 343,040 --sh--w C:\WINDOWS\system32\msvcrt.dll

2004-08-19 23:09 553,472 --sh--w C:\WINDOWS\system32\oleaut32.dll

2004-08-19 23:09 83,456 --sh--w C:\WINDOWS\system32\olepro32.dll

2004-08-19 23:10 12,288 --sh--w C:\WINDOWS\system32\regsvr32.exe

.

 

((((((((((((((((((((((((((((( snapshot@2007-11-23_ 0.16.22.10 )))))))))))))))))))))))))))))))))))))))))

.

+ 2007-10-01 21:24:34 16,184 ----a-w C:\WINDOWS\system32\ssiefr.EXE

+ 2007-10-01 21:24:36 219,448 ----a-w C:\WINDOWS\system32\WRLogonNtf.dll

+ 2007-10-01 21:24:36 26,424 ----a-w C:\WINDOWS\system32\wrlzma.dll

+ 2007-01-26 03:14:30 271,936 ----a-w C:\WINDOWS\WRUninstall.dll

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2004-05-12 01:03]

"froody"="C:\WINDOWS\system32\timoty.exe" [2007-11-22 23:19]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [2004-07-01 13:58 C:\WINDOWS\SOUNDMAN.EXE]

"AlcWzrd"="ALCWZRD.EXE" [2004-07-05 20:05 C:\WINDOWS\ALCWZRD.EXE]

"AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" [2007-05-20 11:47]

"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd.exe" [2003-08-04 17:28]

"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 08:38]

"AVG7_EMC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe" [2007-05-20 11:47]

"Zone Labs Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-23 23:38]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-10-27 06:24]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 04:25]

"version"="C:\WINDOWS\system32\timoty.exe" [2007-11-22 23:19]

"SpySweeper"="C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" [2007-10-01 16:40]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 18:09]

"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [2007-05-20 11:47]

 

C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\

setings.exe [2007-11-22 23:19:58]

 

C:\Documents and Settings\profil1\Menu D‚marrer\Programmes\D‚marrage\

setings.exe [2007-11-22 23:19:58]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

startup.exe [2007-11-22 23:19:58]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"froody"=C:\WINDOWS\system32\timoty.exe

"timeNoticeSL001"="C:\Documents and Settings\profil1\wn852.exe" net

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"version"=C:\WINDOWS\system32\timoty.exe

 

R0 SSFS0BB9;Spy Sweeper File System Filer Driver: 0BB9;C:\WINDOWS\system32\Drivers\SSFS0BB9.SYS

R3 DCamUSBKodak;Kodak DVC323 Digital Video Camera;C:\WINDOWS\system32\DRIVERS\dvc323.sys

R3 WebSTARNdis;WebSTAR DPX USB Cable Modem Adapter;C:\WINDOWS\system32\DRIVERS\WebSTAR.sys

 

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2007-11-24 16:55:29 C:\WINDOWS\Tasks\RegistrySmart Scheduled Scan.job"

- C:\Program Files\RegistrySmart\RegistrySmart.exe

- C:\Program Files\RegistrySmart

.

**************************************************************************

 

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-11-25 12:09:02

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2007-11-25 12:10:27

C:\ComboFix2.txt ... 2007-11-23 00:16

.

--- E O F ---

[bruce lee]

Bonjour GLH,

 

1/Affiche tout les fichiers:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

Rends toi sur ce lien : Virus Total

• Clique sur Parcourir
  
• Rends toi jusque sur ce fichier si tu le trouves :
  

• C:\WINDOWS\system32\libcurl.dll
  

• [*]Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.[*]Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page. [*]Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté[*]Une nouvelle fenêtre de ton navigateur va apparaître puis post le resultat.

 

Fait également analyser ces fichiers:

 

C:\WINDOWS\ trayicons.exe

C:\Documents and Settings\profil1\ wn852.exe

C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\

setings.exe

 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\

startup.exe

 

Poste le résultat de l'analyse pour chaque fichier.

 

@+

[GLH]

[bruce lee]

re,

 

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

 

Rend toi ici:

 

http://siri.urz.free.fr/upload/

 

Clique sur Parcourir... parcours les differents dossiers jusqu'a arriver ici:

 

C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\

setings.exe

 

 

Fais un clique gauche sur setings.exe il va prendre une couleur bleue. Clique ensuite sur ouvrir

 

A coté de "Lien vers le message du forum où le fichier a été demandé" copie/colle ceci:

 

http://forum.zebulon.fr/index.php?showtopi...p;#entry1134076

 

Clique ensuite sur Upload

 

Fait la même manip pour ce fichier:

 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\

startup.exe

 

1/ Ouvre le Bloc-notes ( Menu Démarrer\Tous les programmes\Accessoires\Bloc-notes)

 

2/ Copie ce qui est en citation ci-dessous (sans le mot citation) par sélection puis Ctrl-C :

 

File::

C:\WINDOWS\system32\msanton.exe

C:\WINDOWS\system32\sol852.txt

C:\WINDOWS\system32\timoty.exe

C:\WINDOWS\system32\libcurl.dll

C:\WINDOWS\trayicons.exe

C:\Documents and Settings\profil1\wn852.exe

C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\

setings.exe

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\

startup.exe

 

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"froody"=-

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"version"=-

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"froody"=-

"timeNoticeSL001"=-

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"version"=-

 

-Enregistre ce fichier dans: Bureau

-Nom du fichier : CFScript

-Type du fichier : tous les fichiers

-clique sur Enregistrer

-quitte le Bloc Notes

 

 

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

 

• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide.
  
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt