Résolu - PC infecté - Potential Spyware Operation

GLH · le 27 novembre 2007

re,
Rend toi ici:

http://siri.urz.free.fr/upload/

Clique sur Parcourir... parcours les differents dossiers jusqu'a arriver ici:

C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\

setings.exe

Fais un clique gauche sur setings.exe il va prendre une couleur bleue. Clique ensuite sur ouvrir

A coté de "Lien vers le message du forum où le fichier a été demandé" copie/colle ceci:

http://forum.zebulon.fr/index.php?showtopi...p;#entry1134076

Clique ensuite sur Upload

Fait la même manip pour ce fichier:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\

startup.exe

1/ Ouvre le Bloc-notes ( Menu Démarrer\Tous les programmes\Accessoires\Bloc-notes)

2/ Copie ce qui est en citation ci-dessous (sans le mot citation) par sélection puis Ctrl-C :

-Enregistre ce fichier dans: Bureau

-Nom du fichier : CFScript

-Type du fichier : tous les fichiers

-clique sur Enregistrer

-quitte le Bloc Notes

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Bonjour,

Ci-dessous le rapport de ComboFix suivant les opérations requises.

Sur siri.urz.free.fr/upload, j'ai eu le message suivant pour les 2 fichiers à traiter :

Le fichier existe déja, une analyse est en cours...

Merci de ne pas renvoyer le fichier.

Vous allez être redirigé, sinon cliquez ici

***************

De plus, après le reboot généré par de ComboFix, j'ai eu le message suivant via mon programme Sypbot

Catégorie : System Stratup user entry

Modif: Valeur deleted

Élemément: froody

Ancienne valeur : C:\WINDOWS\system32\timoty.exe

J'ai refusé la modif

Je n'ai pas encore rebooter mais j'ai encore le pop-up Potential Spyware Operation

Merci !!!!

ComboFix 07-11-19.3 - profil1 2007-11-27 18:17:22.3 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.99 [GMT -5:00]

Running from: C:\Documents and Settings\profil1\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\profil1\Bureau\CFScript.txt

* Created a new restore point

FILE

C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\

C:\Documents and Settings\profil1\wn852.exe

C:\WINDOWS\system32\libcurl.dll

C:\WINDOWS\system32\msanton.exe

C:\WINDOWS\system32\sol852.txt

C:\WINDOWS\system32\timoty.exe

C:\WINDOWS\trayicons.exe

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Documents and Settings\profil1\wn852.exe

C:\WINDOWS\system32\libcurl.dll

C:\WINDOWS\system32\msanton.exe

C:\WINDOWS\system32\sol852.txt

C:\WINDOWS\system32\timoty.exe

C:\WINDOWS\trayicons.exe

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-27 to 2007-11-27 ))))))))))))))))))))))))))))))))))))

.

2007-11-24 12:58 <REP> d-------- C:\Documents and Settings\NetworkService\Application Data\Webroot

2007-11-24 11:27 20,280 --a------ C:\WINDOWS\system32\drivers\SSFS0BB9.sys

2007-11-24 11:26 1,526,072 --a------ C:\WINDOWS\WRSetup.dll

2007-11-24 11:14 <REP> d-------- C:\Program Files\Webroot

2007-11-24 11:14 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\Webroot

2007-11-24 11:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Webroot

2007-11-24 11:14 163,640 --a------ C:\WINDOWS\system32\drivers\ssidrv.sys

2007-11-24 11:14 21,816 --a------ C:\WINDOWS\system32\drivers\sshrmd.sys

2007-11-24 11:12 <REP> d-------- C:\Documents and Settings\profil1\Application Data\Webroot

2007-11-24 00:00 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Grisoft

2007-11-23 23:43 <REP> d-------- C:\Documents and Settings\profil1\Application Data\Grisoft

2007-11-23 23:42 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

2007-11-23 22:25 <REP> d-------- C:\Program Files\RegistrySmart

2007-11-23 22:25 <REP> d-------- C:\Documents and Settings\profil1\Application Data\RegistrySmart

2007-11-23 20:47 <REP> d-------- C:\Program Files\Yahoo!

2007-11-23 20:47 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion

2007-11-23 20:46 <REP> d-------- C:\Program Files\CCleaner

2007-11-23 16:54 <REP> d-ah----- C:\Documents and Settings\Administrateur\Voisinage r‚seau

2007-11-23 16:54 <REP> d-ah----- C:\Documents and Settings\Administrateur\Voisinage d'impression

2007-11-23 16:54 <REP> d-ah----- C:\Documents and Settings\Administrateur\ModŠles

2007-11-23 16:54 <REP> d-a------ C:\Documents and Settings\Administrateur\Mes documents

2007-11-23 16:54 <REP> d-a------ C:\Documents and Settings\Administrateur\Menu D‚marrer

2007-11-23 16:54 <REP> d-a------ C:\Documents and Settings\Administrateur\Favoris

2007-11-23 16:54 <REP> d-a------ C:\Documents and Settings\Administrateur\Bureau

2007-11-23 16:54 <REP> d-a------ C:\Documents and Settings\Administrateur\Application Data\Symantec

2007-11-23 16:54 <REP> d-a------ C:\Documents and Settings\Administrateur\Application Data\CyberLink

2007-11-22 23:14 <REP> d-------- C:\Documents and Settings\profil1\Application Data\TrojanHunter

2007-11-22 22:40 <REP> d-------- C:\Program Files\TrojanHunter 5.0

2007-11-22 21:06 15,872 --a------ C:\WINDOWS\windisk.dll

2007-10-28 14:15 <REP> d-------- C:\WINDOWS\MaxTV

2007-10-28 14:15 <REP> d-------- C:\Program Files\DMV

2007-10-27 06:35 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer

2007-10-27 06:34 <REP> d-------- C:\Program Files\Apple Software Update

2007-10-27 06:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple

2007-10-27 06:24 <REP> d-------- C:\Program Files\QuickTime

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-11-27 01:12 --------- d-----w C:\Program Files\adslTV

2007-11-24 23:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\AVG7

2007-11-24 19:04 --------- d-----w C:\Documents and Settings\profil1\Application Data\wsInspector

2007-11-24 17:03 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2007-11-24 04:42 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft

2007-11-18 16:48 --------- d-----w C:\Documents and Settings\profil1\Application Data\Skype

2007-11-08 12:45 --------- d-----w C:\Documents and Settings\profil1\Application Data\AdobeUM

2007-10-28 19:41 --------- d-----w C:\Documents and Settings\profil1\Application Data\vlc

2007-10-19 22:03 --------- d-----w C:\Program Files\Windows Media Connect 2

2007-10-16 01:42 --------- d-----w C:\Program Files\Fichiers communs\NSV

2007-10-16 00:54 --------- d-----w C:\Program Files\Fichiers communs\Nullsoft

2007-10-08 22:03 --------- d-----w C:\Program Files\Skype

2007-10-08 22:03 --------- d-----w C:\Program Files\Fichiers communs\Skype

2007-10-08 22:03 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype

2007-10-08 20:37 --------- d-----w C:\Program Files\PhotoCam

2007-10-08 19:41 --------- d-----w C:\Program Files\AutoWebCam

2007-10-08 19:40 --------- d-----w C:\Program Files\STOIK Imaging

2007-10-08 19:40 --------- d-----w C:\Documents and Settings\profil1\Application Data\STOIK

2007-10-08 18:23 --------- d--h--w C:\Program Files\InstallShield Installation Information

2007-10-01 21:24 23,864 ----a-w C:\WINDOWS\system32\drivers\sskbfd.sys

2007-09-21 18:47 202,826 ----a-w C:\WINDOWS\system32\atasnt40.dll

2003-04-24 12:00 94,864 --sh--w C:\WINDOWS\twain.dll

2004-08-19 23:09 50,688 --sh--w C:\WINDOWS\twain_32.dll

2004-08-19 23:09 1,028,096 --sh--w C:\WINDOWS\system32\mfc42.dll

2004-08-19 23:09 54,784 --sh--w C:\WINDOWS\system32\msvcirt.dll

2004-08-19 23:09 413,696 --sh--w C:\WINDOWS\system32\msvcp60.dll

2004-08-19 23:09 343,040 --sh--w C:\WINDOWS\system32\msvcrt.dll

2004-08-19 23:09 553,472 --sh--w C:\WINDOWS\system32\oleaut32.dll

2004-08-19 23:09 83,456 --sh--w C:\WINDOWS\system32\olepro32.dll

2004-08-19 23:10 12,288 --sh--w C:\WINDOWS\system32\regsvr32.exe

.

((((((((((((((((((((((((((((( snapshot@2007-11-23_ 0.16.22.10 )))))))))))))))))))))))))))))))))))))))))

.

+ 2007-10-01 21:24:34 16,184 ----a-w C:\WINDOWS\system32\ssiefr.EXE

+ 2007-10-01 21:24:36 219,448 ----a-w C:\WINDOWS\system32\WRLogonNtf.dll

+ 2007-10-01 21:24:36 26,424 ----a-w C:\WINDOWS\system32\wrlzma.dll

+ 2007-01-26 03:14:30 271,936 ----a-w C:\WINDOWS\WRUninstall.dll

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2004-05-12 01:03]

"froody"="C:\WINDOWS\system32\timoty.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [2004-07-01 13:58 C:\WINDOWS\SOUNDMAN.EXE]

"AlcWzrd"="ALCWZRD.EXE" [2004-07-05 20:05 C:\WINDOWS\ALCWZRD.EXE]

"AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" [2007-05-20 11:47]

"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd.exe" [2003-08-04 17:28]

"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 08:38]

"AVG7_EMC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe" [2007-05-20 11:47]

"Zone Labs Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-23 23:38]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-10-27 06:24]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 04:25]

"version"="C:\WINDOWS\system32\timoty.exe" []

"SpySweeper"="C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" [2007-10-01 16:40]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 18:09]

"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [2007-05-20 11:47]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"DisableRegistryTools"= 1 (0x1)

"DisableTaskMgr"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableRegistryTools"= 1 (0x1)

"DisableTaskMgr"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoControlPanel"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoControlPanel"= 1 (0x1)

"NoWindowsUpdate"= 1 (0x1)

R0 SSFS0BB9;Spy Sweeper File System Filer Driver: 0BB9;C:\WINDOWS\system32\Drivers\SSFS0BB9.SYS

R3 DCamUSBKodak;Kodak DVC323 Digital Video Camera;C:\WINDOWS\system32\DRIVERS\dvc323.sys

R3 WebSTARNdis;WebSTAR DPX USB Cable Modem Adapter;C:\WINDOWS\system32\DRIVERS\WebSTAR.sys

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

"2007-11-24 16:55:29 C:\WINDOWS\Tasks\RegistrySmart Scheduled Scan.job"

- C:\Program Files\RegistrySmart\RegistrySmart.ex

- C:\Program Files\RegistrySmart

.

**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-11-27 18:24:05

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2007-11-27 18:25:49 - machine was rebooted

C:\ComboFix2.txt ... 2007-11-25 12:10

C:\ComboFix3.txt ... 2007-11-23 00:16

.

--- E O F ---

bruce lee · le 28 novembre 2007

Bonjour,

Si durant la procédure ci-dessous, il y a des étapes que tu n'as pas reussi a faire, merci de continuer la procédure jusqu'au bout et de les signaler dans ta prochaine reponse.

Je te conseille d'enregistrer la page web compléte sous Internet Explorer comme ceci :

* Clique sur Fichier/Enregistrer sous Dans Type, choisis : Archive web (fichier seul (*.mht) / Enregistre la sur le bureau,comme cela tu retrouvera la mise en forme ou imprime cette réponse. Une partie de la désinfection se déroulera en mode sans échec.

Catégorie : System Stratup user entry
Modif: Valeur deleted

Élemément: froody

Ancienne valeur : C:\WINDOWS\system32\timoty.exe

J'ai refusé la modif

Il faut tu acceptes la modification.

Supprime le fichier Fixme.reg qui se trouve sur ton Bureau.

1/ Ouvre le Bloc-notes (Démarrer\Tous les programmes\Accessoires\Bloc-notes)

2/ Copie ce qui est en citation ci-dessous (sans le mot citation) par sélection puis Ctrl-C :

REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoControlPanel"=-

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoControlPanel"=-

"NoWindowsUpdate"=-

-Enregistrez ce fichier reg dans : Bureau

-Nom du fichier : Fixme.reg

-Type du fichier : tous les fichiers

-Cliquez sur Enregistrer

-Quittez le Bloc Notes

3/Télécharge puis installe http://www.ewido.net/en/download

Une fois AVG AS lancé, clique sur Mise à jour

Ferme le programme.

4/Démarre en mode sans échec http://cybersecurite.xooit.com/t88-Demarre...s-echec.htm#665

5/Utilisation du fichier: Fixme.reg précedemment créé

- double cliquez sur le fichier (Bureau) / Acceptez l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / validez le message disant que la fusion est terminée.

6/Lance hijackthis en cliquant sur do a scan system only et coche ces lignes:

O4 - HKCU\..\Run: [froody] C:\WINDOWS\system32\timoty.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

7/Pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

8/Supprime ce qui est en gras:

C:\WINDOWS\system32\ timoty.exe<== le fichier

9/ Relance AVG AS puis choisis l'onglet Analyse

Puis l'onglet Paramètres

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

Reclique sur l'onglet Analyse puis réalise une Analyse complète du système

Si un fichier infecté est détecté en fin d'analyse

Clique sur Appliquer toutes les actions

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous

Enregistre ce fichier texte sur ton bureau

10/Redémarre en mode normal

11/Poste le rapport d'AVG Anti spyware 7.5 ainsi qu'un nouveau log Hijackthis.

Bon courage, et si tu as la moindre question n'hésite surtout pas

@+

Modifié le 28 novembre 2007 par bruce lee

GLH · le 28 novembre 2007

Bonjour,

Ci-dessous les 2 rapports.

Je n'ai pas pu exécuter l'opération avec FIXME.REG en mode sans échec car j'ai eu le message suvant:

La modification du regsitre a été désactivé par votre administrateur

Aussi, je n'ai pas pu changer l'affichage en mode sans échec.

Après toutes les autres opérations, j'ai toujours le pop-up Potential Spyware Operation et je n'ai pas accès au gestionnaire de tâche.

Merci des encouragements....

GLH

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

+ Créé à: 06:15:55 2007-11-28

+ Résultat de l'analyse:

C:\System Volume Information\_restore{FD800764-76F2-4733-8454-F2186A20644F}\RP398\A0126654.ini -> Adware.Sahat : Nettoyé.

C:\System Volume Information\_restore{FD800764-76F2-4733-8454-F2186A20644F}\RP398\A0126653.dll -> Adware.WinAD : Nettoyé.

C:\Documents and Settings\profil1\Cookies\profil1@fnac.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.

C:\Documents and Settings\profil1\Cookies\profil1@adbrite[2].txt -> TrackingCookie.Adbrite : Nettoyé.

C:\Documents and Settings\profil1\Cookies\profil1@ads.adbrite[2].txt -> TrackingCookie.Adbrite : Nettoyé.

C:\Documents and Settings\profil1\Cookies\profil1@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.

C:\Documents and Settings\profil1\Cookies\profil1@estat[1].txt -> TrackingCookie.Estat : Nettoyé.

C:\Documents and Settings\profil1\Cookies\profil1@ehg-bestbuy.hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyé.

C:\Documents and Settings\profil1\Cookies\profil1@ehg-systemax.hitbox[1].txt -> TrackingCookie.Hitbox : Nettoyé.

C:\Documents and Settings\profil1\Cookies\profil1@ehg-tigerdirect2.hitbox[1].txt -> TrackingCookie.Hitbox : Nettoyé.

C:\Documents and Settings\profil1\Cookies\profil1@hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyé.

C:\Documents and Settings\profil1\Cookies\profil1@ssl-hints.netflame[2].txt -> TrackingCookie.Netflame : Nettoyé.

C:\Documents and Settings\profil1\Cookies\profil1@smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.

C:\Documents and Settings\profil1\Cookies\profil1@m.webtrends[2].txt -> TrackingCookie.Webtrends : Nettoyé.

Fin du rapport

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 06:23:46, on 2007-11-28

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\system32\msanton.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\ALCWZRD.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Program Files\HP\HP Software Update\HPWuSchd.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Download\Spyware\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.novem.ca/Novem_accueil_fichiers/slide0005.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\msanton.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [AVG7_CC] "C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" /STARTUP

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [version] C:\WINDOWS\system32\timoty.exe

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray

O4 - HKCU\..\Run: [spybotSD TeaTimer] "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"

O4 - HKCU\..\Run: [froody] C:\WINDOWS\system32\timoty.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: setings.exe

O4 - Global Startup: startup.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

--

End of file - 6220 bytes

bruce lee · le 28 novembre 2007

Re,

Lance hijackthis en cliquant sur do a scan system only et coche ces lignes:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\msanton.exe

O4 - HKLM\..\Run: [version] C:\WINDOWS\system32\timoty.exe

O4 - HKCU\..\Run: [froody] C:\WINDOWS\system32\timoty.exe

O4 - Startup: setings.exe

O4 - Global Startup: startup.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

Supprime ce qui est en gras:

C:\WINDOWS\system32\ timoty.exe<== le fichier

C:\WINDOWS\system32\ msanton.exe<== le fichier

C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\

setings.exe<== le fichier

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\

startup.exe<== le fichier

Redémarre en mode normal

Poste un nouveau log Hijackthis et un nouveau rapport de ComboFix.

Bon courage, et si tu as la moindre question n'hésite surtout pas

@+

GLH · le 28 novembre 2007

Re,

Lance hijackthis en cliquant sur do a scan system only et coche ces lignes:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\msanton.exe

O4 - HKLM\..\Run: [version] C:\WINDOWS\system32\timoty.exe

O4 - HKCU\..\Run: [froody] C:\WINDOWS\system32\timoty.exe

O4 - Startup: setings.exe

O4 - Global Startup: startup.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

Supprime ce qui est en gras:

C:\WINDOWS\system32\ timoty.exe<== le fichier

C:\WINDOWS\system32\ msanton.exe<== le fichier

C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\

setings.exe<== le fichier

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\

startup.exe<== le fichier

Redémarre en mode normal

Poste un nouveau log Hijackthis et un nouveau rapport de ComboFix.

Bon courage, et si tu as la moindre question n'hésite surtout pas

@+

Bonjour,

Voici les 2 rapports.

À noter:

J'ai du démarrer en mode sans échec avec le profil ADMIN pour supprimer le fichier msanton.exe car j'avais le message "accès refusé" avec mon profil régulier.

Je n'ai pas trouvé le fichier à détruire statup.exe. J'ai même fait une recherche et j'ai trouvé seulement le fichier startup.exe-1a4af53d.pf dans c:\windows\Prefetch. Je ne l'ai pas détruit.

Pendant l'exécution de Combofix, j'ai eu 2 fois le message suivant de mon programme Spybot:

Catégorie: Winlogon

Élement: SHELL

Ancienne valeur: explorer.exe

Nouvelle valeur: Explorer.exe

J'ai refusé la modif.

***************

Je n'ai plus de pop-up aux 5 minutes

Tout semble normal.

Merciiiii

****************

Question :

Avec tous les tests que j'ai fait avant de faire appel au forum et suivant vos instructions, je me retrouve avec 3 outils anti-spyware (SPYBOT, AVG et Webroot Spy Sweeper). Lequel ou lesquels dois-je garder ?

Encore merci.

GLH

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:46:51, on 2007-11-28

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\ALCWZRD.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Program Files\HP\HP Software Update\HPWuSchd.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Webroot\Spy Sweeper\SSU.EXE