Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

"your privacy is in danger" + éradication Trojan

mackxs

Par mackxs
dans Analyses et éradication malwares

 Partager

Messages recommandés

mackxs Member

mackxs

Posté(e)
Posté(e) (modifié)

Bonjour à tous,

 

Hier voulant aider une amie je lui ait malencontreusement fait chopper un virus (ça commence mal :s). Comme elle n'y connait pas grand chose en informatique je me suis moi même auto-infecté afin de trouver comment l'éradiquer. Vous devez vous dire que je suis suicidaire mais là elle m'en veut vraiment et je veut me rattraper. Et c'est là que j'ai besoin de vos lumières car en effet il est plus coriace que prévu et je ne sais pas analyser les rapports HiJackThis.

 

Un wallpaper rouge avec un biohazard avec écris "YOUR PRIVACY IS IN DANGER" s'est mis et je ne peut l'enlever, de plus je ne peut plus ouvrir le gestionnaire des tâches ("le gestionnaire des tâches a été désactivé par votre administrateur"). De temps à autre des fenêtres me proposent de télécharger des antivirus, enfin les attrapes nigauds en fait.

 

Mon antivirus est Avast, il m'a juste mis une alerte (nom du virus du genre Win32:Adware-gen [Trj]...etc, un trojan quoi), j'ai fais supprimer mais bon je sais que ça sers à rien. J'ai donc suivi les recommandation habituelles : scan Ewido, Ccleaner.

Ewido trouve rien d'autre que des cookies, et ccleaner rien de spécial non plus.

 

Que faire ? Vous poster un rapport Hijackthis ? Autre ? Le virus a l'air assez connu puisque j'ai trouvé d'autres personnes ayant eu le même fond d'écran, mais les solutions varient d'une infection à l'autre donc... je préfère créer mon topic.

 

J'ai assez souvent dépanné des amis infectés par des chevaux de Troie avec toutes les démarches longues et chiantes, mais là quelque chose me dis que ça va être plus chaud que d'habitude, d'autant plus que comme je l'ai dis le but est d'aider une amie qui m'en veut...beaucoup :/ ! Si c'était que pour moi ce serait réinstallation windows pure et simple vu que je l'ait fait récemment donc j'ai rien à perdre (donnéessur DD externe), mais elle, elle a vraiment un max de données importantes à garder intactes, voyez donc ma situation :P.

 

 

Merci d'avance pour vos réponses, je reste dispo... :P

 

edit : d'après les alertes avast les fichiers infectés sont dans le dossier Temp mais il est vide après le passage de Ccleaner :/

edit 2 : Antivir ne trouve rien non plus

Modifié par mackxs

mackxs Member

mackxs

Posté(e)
  • Auteur
Posté(e)

Le rapport HiJackThis dans la foulée :

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:25:01, on 27/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\nvraidservice.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\hphmon05.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Tablet.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\ewido anti-spyware 4.0\ewido.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\program files\steam\steam.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\WINDOWS\system32\WTablet\TabUserW.exe

C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Fichiers communs\Logitech\WebColct\webcolct.exe

C:\Documents and Settings\Mackxs\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL (file missing)

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: MSVPS System - {31DE3194-C748-48BB-B620-2D0156B5E1AD} - C:\WINDOWS\werbetgxd.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: The hdtip - {382C8A97-BFEF-47B5-9770-87C4DE651E37} - C:\WINDOWS\hdtip.dll

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"

O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe

O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [steam] "c:\program files\steam\steam.exe" -silent

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')

O4 - Global Startup: Logitech SetPoint.lnk = ?

O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B467F199-0727-4B46-B4F7-D55449DFFF7A}: NameServer = 81.253.149.9 80.10.246.3

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O21 - SSODL: gormet - {3B3D06C8-ED13-4DFB-B0EF-E7065B658AF3} - C:\WINDOWS\gormet.dll (file missing)

O21 - SSODL: pmkret - {32FD8093-7A76-43C1-A39C-D7653721A498} - C:\WINDOWS\pmkret.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Alepsp20l - Realtek Semiconductor Corp. - (no file)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

 

--

End of file - 9110 bytes

 

 

J'ai beau le lire, ça m'inspire pas grand chose ^^

Anthony#10 Mega Power Member

Anthony#10

Posté(e)
Posté(e) (modifié)

Bonsoir,

 

Etape 1 : SmitFraudFix

Télécharge SmitfraudFix (de S!Ri ) sur ton Bureau.

 

Ferme toutes les applications.

Ouvre le dossier SmitFraudFix puis double clique sur SmitraudFix.exe

Sélectionne 1 puis presse la touche Entrée pour vérifier la présence de l'infection.

 

Note : process.exe est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus

 

Etape 2 : Deckard's System Scanner (DSS)

Télécharge Deckard's System Scanner (de Deckard) sur ton Bureau.

 

Ferme toutes les applications en cours.

Double-clique sur dss.exe pour lancer l'outil.

Clique sur OK (cela sera demandé 3 fois).

L'analyse finie, deux fichiers textes s'afficheront :

main.txt <- ouvert dans une fenêtre normale

extra.txt <- ouvert dans une fenêtre réduite

Ferme ces fenêtres.

 

Etape 3 : Futur message

Envoie le rapport de SmitFraudFix (C:\rapport.txt), le rapport main.txt de DSS (:\Deckard\System Scanner\main.txt).

 

Anthony.

Modifié par Anthony#10
mackxs Member

mackxs

Posté(e)
  • Auteur
Posté(e)
Bonsoir,

...

Anthony.

Tout d'abord merci pour ton aide. Je sais pas si ça a un rapport mais quand j'ai ouvert DSS avast m'a affiché une alerte pour Win32:Zlober [Drp]. Après [Trj] et [Adw], [Drp], alors là je suis carrément dépassé...

 

Voici les rapports demandés :P :

 

SmitFraudFix v2.256

Rapport fait à 18:59:55,95, 27/11/2007
Executé à partir de D:\Mes documents\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\hphmon05.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\program files\steam\steam.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\hdtip.dll PRESENT !
C:\WINDOWS\monhop.exe PRESENT !
C:\WINDOWS\pmkret.dll PRESENT !
C:\WINDOWS\privacy_danger PRESENT !
C:\WINDOWS\werbet???.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mackxs


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mackxs\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Mackxs\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 

C:\Program Files\RichVideoCodec\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]
"Source"="file:///C:\\WINDOWS\\privacy_danger\\index.htm"
"SubscribedURL"=""
"FriendlyName"="Privacy Protection"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 81.253.149.9
DNS Server Search Order: 80.10.246.3

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B467F199-0727-4B46-B4F7-D55449DFFF7A}: NameServer=81.253.149.9 80.10.246.3
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B467F199-0727-4B46-B4F7-D55449DFFF7A}: NameServer=80.10.246.1 80.10.246.132
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B467F199-0727-4B46-B4F7-D55449DFFF7A}: NameServer=81.253.149.9 80.10.246.3
HKLM\SYSTEM\CS3\Services\Tcpip\..\{B467F199-0727-4B46-B4F7-D55449DFFF7A}: NameServer=80.10.246.1 80.10.246.132


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

Deckard's System Scanner v20071014.68
Run by Mackxs on 2007-11-27 19:17:24
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Unable to create WMI object; Opération réussie.


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as Mackxs.exe) ----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:18:38, on 27/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\hphmon05.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Documents and Settings\Mackxs\Bureau\dss.exe
C:\DOCUME~1\Mackxs\Bureau\Mackxs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: MSVPS System - {31DE3194-C748-48BB-B620-2D0156B5E1AD} - C:\WINDOWS\werbetgxd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: The hdtip - {382C8A97-BFEF-47B5-9770-87C4DE651E37} - C:\WINDOWS\hdtip.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B467F199-0727-4B46-B4F7-D55449DFFF7A}: NameServer = 80.10.246.1 81.253.149.10
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O21 - SSODL: gormet - {3B3D06C8-ED13-4DFB-B0EF-E7065B658AF3} - (no file)
O21 - SSODL: pmkret - {32FD8093-7A76-43C1-A39C-D7653721A498} - C:\WINDOWS\pmkret.dll
O21 - SSODL: msmhost - {0465387B-BF9A-4426-A471-972EEF1A4672} - C:\WINDOWS\msmhost.dll (file missing)
O21 - SSODL: msmdev - {C829707A-49EA-4CAF-A0AB-FD2D2D0647A6} - C:\WINDOWS\msmdev.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Alepsp20l - Realtek Semiconductor Corp. - (no file)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 9919 bytes

-- File Associations -----------------------------------------------------------

All associations okay.


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 PenClass (Pen Class) - c:\windows\system32\drivers\penclass.sys <Not Verified; Wacom Technology Corporation; Wacom Pen Class Driver>
R0 VClone - c:\windows\system32\drivers\vclone.sys <Not Verified; Elaborate Bytes AG; Virtual CloneDrive>
R1 StarOpen - c:\windows\system32\drivers\staropen.sys
R2 ElbyCDIO (ElbyCDIO Driver) - c:\windows\system32\drivers\elbycdio.sys <Not Verified; Elaborate Bytes AG; CDRTools>
R2 LBeepKE - c:\windows\system32\drivers\lbeepke.sys <Not Verified; Logitech Inc.; Logitech SetPoint>

S0 Si3112 - c:\windows\system32\drivers\si3112.sys <Not Verified; Silicon Image, Inc.; SiI 3112 SATALink controller>
S0 Si3112r - c:\windows\system32\drivers\si3112r.sys <Not Verified; Silicon Image, Inc.; SiI 3112 SATARaid controller>
S3 ElbyDelay - c:\windows\system32\drivers\elbydelay.sys <Not Verified; Elaborate Bytes AG; CDRTools>
S3 GMSIPCI - f:\install\gmsipci.sys (file missing)
S3 pcouffin (VSO Software pcouffin) - c:\windows\system32\drivers\pcouffin.sys <Not Verified; VSO Software; Patin couffin engine>


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (AntiVir PersonalEdition Classic Scheduler) - "c:\program files\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; Scheduler>
R2 Bonjour Service (##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##) - "c:\program files\bonjour\mdnsresponder.exe" <Not Verified; Apple Computer, Inc.; Bonjour>
R2 TabletService - c:\windows\system32\tablet.exe <Not Verified; Wacom Technology, Corp.; Wacom Win32 Tablet Service>

S3 FLEXnet Licensing Service - "c:\program files\fichiers communs\macrovision shared\flexnet publisher\fnplicensingservice.exe" <Not Verified; Macrovision Europe Ltd.; FLEXnet Publisher (32 bit)>
S3 WMPNetworkSvc (Service Partage réseau du Lecteur Windows Media) - c:\program files\windows media player\wmpnetwk.exe (file missing)


-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.


-- Scheduled Tasks -------------------------------------------------------------

2007-11-26 19:47:00	   344 --a------ C:\WINDOWS\Tasks\HP Usg Daily.job
2007-10-29 09:18:00	   284 --a------ C:\WINDOWS\Tasks\AppleSoftwareUpdate.job


-- Files created between 2007-10-27 and 2007-11-27 -----------------------------

2007-11-27 19:10:42		 0 d--hs---- C:\Documents and Settings\Mackxs\Recent
2007-11-27 18:59:59	  3632 --a------ C:\WINDOWS\system32\tmp.reg
2007-11-27 18:35:55		 0 d-------- C:\Program Files\Avira
2007-11-27 18:35:55		 0 d-------- C:\Documents and Settings\All Users\Application Data\Avira
2007-11-27 17:27:09		 0 d-------- C:\Program Files\CCleaner
2007-11-27 16:43:58		 0 d-------- C:\Program Files\ewido anti-spyware 4.0
2007-11-27 16:26:43		 0 d-------- C:\WINDOWS\privacy_danger
2007-11-26 20:11:39	299008 --a------ C:\WINDOWS\werbetgxd.dll <Not Verified;; werbetgxd>
2007-11-26 20:11:39	266240 --a------ C:\WINDOWS\pmkret.dll <Not Verified;; pmkret>
2007-11-26 20:11:39	151552 --a------ C:\WINDOWS\monhop.exe
2007-11-26 20:11:39	192512 --a------ C:\WINDOWS\hdtip.dll <Not Verified;; hdtip Module>
2007-11-26 20:10:46		 0 d-------- C:\Program Files\RichVideoCodec
2007-11-22 19:18:29		 0 d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2007-11-22 16:56:35		 0 d-------- C:\Documents and Settings\Mackxs\Application Data\Ahead
2007-11-22 16:55:51   3051520 -----n--- C:\WINDOWS\UNNeroVision.exe <Not Verified; Nero AG; Nero WebEngine>
2007-11-22 16:55:40	364544 -----n--- C:\WINDOWS\system32\TwnLib4.dll <Not Verified; Pegasus Imaging Corp.; TwnLib4>
2007-11-22 16:55:40		 0 d-------- C:\Documents and Settings\All Users\Application Data\Ahead
2007-11-22 16:55:39	 38912 -----n--- C:\WINDOWS\system32\picn20.dll <Not Verified; Pegasus Imaging Corp.; PEGASUS>
2007-11-22 16:55:26		 0 d-------- C:\Program Files\Yahoo!
2007-11-21 20:45:07	 47360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys <Not Verified; VSO Software; Patin couffin engine>
2007-11-21 20:45:07		 0 d-------- C:\Documents and Settings\Mackxs\Application Data\Vso
2007-11-21 20:45:07	 47360 --a------ C:\Documents and Settings\Mackxs\Application Data\pcouffin.sys <Not Verified; VSO Software; Patin couffin engine>
2007-11-16 20:10:16		 0 d-------- C:\Program Files\Fichiers communs\Hewlett-Packard
2007-11-16 20:07:34	 19696 -----n--- C:\WINDOWS\hpomdl05.dat
2007-11-16 20:07:34	 68984 --a------ C:\WINDOWS\hpoins05.dat
2007-11-16 20:07:26		 0 d-------- C:\temp
2007-11-16 19:32:33		 0 d-------- C:\Program Files\DVD Decrypter
2007-11-16 19:31:42		 0 d-------- C:\Documents and Settings\All Users\Application Data\DVD Shrink
2007-11-14 20:40:55		 0 d-------- C:\FXIWIN19
2007-11-14 20:40:49	 20976 --a------ C:\WINDOWS\system\CTL3D.DLL <Not Verified; Microsoft Corporation; 3d Windows Control>
2007-11-12 21:58:44		 0 d-------- C:\Documents and Settings\Mackxs\Application Data\dvdcss
2007-11-10 12:40:28	133120 --a------ C:\WINDOWS\system32\sndrec32.exe <Not Verified; Microsoft Corporation; Système d'exploitation Microsoft® Windows®>
2007-11-10 12:40:28	189952 --a------ C:\WINDOWS\system32\accwiz.exe <Not Verified; Microsoft Corporation; Système d'exploitation Microsoft® Windows®>
2007-11-10 12:40:27	347648 --a------ C:\WINDOWS\system32\mspaint.exe <Not Verified; Microsoft Corporation; Système d'exploitation Microsoft® Windows®>
2007-11-10 12:40:27	124928 --a------ C:\WINDOWS\system32\mplay32.exe <Not Verified; Microsoft Corporation; Système d'exploitation Microsoft® Windows®>
2007-11-10 12:40:26	104448 --a------ C:\WINDOWS\system32\clipbrd.exe <Not Verified; Microsoft Corporation; Système d'exploitation Microsoft® Windows®>
2007-11-10 12:40:25	539136 --a------ C:\WINDOWS\system32\spider.exe <Not Verified; Microsoft Corporation; Système d'exploitation Microsoft® Windows®>
2007-10-28 10:59:56		 0 d-------- C:\Documents and Settings\Mackxs\Application Data\Apple Computer


-- Find3M Report ---------------------------------------------------------------

2007-11-27 19:13:43	 12956 --a------ C:\WINDOWS\system32\tablet.dat
2007-11-27 19:13:38		 0 d-------- C:\Program Files\Steam
2007-11-27 19:09:58		33 --a------ C:\Documents and Settings\Mackxs\Application Data\pcouffin.log
2007-11-27 19:09:58	  1144 --a------ C:\Documents and Settings\Mackxs\Application Data\pcouffin.inf
2007-11-27 19:09:58	  7887 --a------ C:\Documents and Settings\Mackxs\Application Data\pcouffin.cat
2007-11-26 11:09:59	458120 --a------ C:\WINDOWS\system32\perfh00C.dat
2007-11-26 11:09:59	 70430 --a------ C:\WINDOWS\system32\perfc00C.dat
2007-11-23 19:14:52	  1660 --a------ C:\WINDOWS\mozver.dat
2007-11-23 18:26:21		 0 d-------- C:\Program Files\eMule
2007-11-22 16:55:43		 0 d-------- C:\Program Files\Ahead
2007-11-16 20:10:16		 0 d-------- C:\Program Files\Fichiers communs
2007-11-16 20:08:30		 0 d-------- C:\Program Files\HP
2007-11-15 18:27:42		 0 d-------- C:\Documents and Settings\Mackxs\Application Data\Canon
2007-11-10 12:40:39		 0 d-------- C:\Program Files\Windows NT
2007-10-28 20:12:11		 0 d-------- C:\Documents and Settings\Mackxs\Application Data\Adobe
2007-10-22 17:55:19		 0 d-------- C:\Program Files\Fichiers communs\Adobe
2007-10-22 17:41:45		 0 d-------- C:\Program Files\Bonjour
2007-10-22 17:37:47		 0 d-------- C:\Program Files\Fichiers communs\Macrovision Shared
2007-10-20 17:29:36		 0 d-------- C:\Documents and Settings\Mackxs\Application Data\Skype
2007-10-14 16:19:05		 0 d-------- C:\Documents and Settings\Mackxs\Application Data\Move Networks
2007-10-10 13:59:05		 0 d-------- C:\Documents and Settings\Mackxs\Application Data\Sun
2007-10-10 13:58:53		 0 d-------- C:\Program Files\Java
2007-10-10 13:56:33		 0 d-------- C:\Program Files\Fichiers communs\Java
2007-10-08 16:27:06		 0 d-------- C:\Program Files\AndreaMosaic
2007-10-07 11:22:15		 0 d-------- C:\Program Files\QuickTime
2007-10-07 11:21:55		 0 d-------- C:\Program Files\Apple Software Update
2007-10-05 19:11:28	737280 --a------ C:\WINDOWS\iun6002.exe <Not Verified; Indigo Rose Corporation; Setup Factory 6.0 Runtime Module>
2007-09-30 20:40:39		 0 d-------- C:\Program Files\Samsung
2007-09-30 20:40:39		 0 d--h----- C:\Program Files\InstallShield Installation Information
2007-09-30 15:46:03		 0 d-------- C:\Documents and Settings\Mackxs\Application Data\FileZilla
2007-09-17 19:23:00	823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll <Not Verified; DivX, Inc.; DivX®>
2007-09-17 19:23:00	823296 --a------ C:\WINDOWS\system32\divx_xx07.dll <Not Verified; DivX, Inc.; DivX®>
2007-09-17 19:22:58	802816 --a------ C:\WINDOWS\system32\divx_xx11.dll <Not Verified; DivX, Inc.; DivX?>
2007-09-17 19:22:58	739840 --a------ C:\WINDOWS\system32\DivX.dll <Not Verified; DivX, Inc.; DivX®>
2007-09-03 10:48:05	 19790 --a------ C:\WINDOWS\HPHins02.dat


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{31DE3194-C748-48BB-B620-2D0156B5E1AD}]
26/11/2007 19:08	299008	--a------	C:\WINDOWS\werbetgxd.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [10/05/2006 10:12]
"NVRaidService"="C:\WINDOWS\system32\nvraidservice.exe" [07/12/2004 09:16]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [19/07/2006 11:03 C:\WINDOWS\KHALMNPR.Exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [19/07/2006 11:03 C:\WINDOWS\KHALMNPR.Exe]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [06/09/2007 11:06]
"SpeedTouch USB Diagnostics"="C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" [05/09/2003 05:59]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe" [15/12/2004 18:24]
"HPHUPD05"="C:\Program Files\Hewlett-Packard\\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe" [07/01/2006 05:26]
"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [22/12/2003 07:38]
"HP Software Update"="C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [05/12/2003 14:41]
"HPHmon05"="C:\WINDOWS\system32\hphmon05.exe" [07/01/2006 05:26]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11/05/2007 02:06]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [29/06/2007 05:24]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [25/09/2007 00:11]
"!ewido"="C:\Program Files\ewido anti-spyware 4.0\ewido.exe" [27/11/2007 16:50]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [31/08/2007 12:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [19/08/2004 12:09]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [19/01/2007 11:55]
"Steam"="c:\program files\steam\steam.exe" [15/11/2007 17:00]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"nlsf"=cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll"
"tscuninstall"=%systemroot%\system32\tscupgrd.exe

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [24/08/2007 18:55:17]
TabUserW.exe.lnk - C:\WINDOWS\system32\WTablet\TabUserW.exe [01/09/2007 11:47:32]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"=1 (0x1)
"DisableRegistryTools"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
Source= file:///C:\WINDOWS\privacy_danger\index.htm
FriendlyName= Privacy Protection

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"pmkret"= {32FD8093-7A76-43C1-A39C-D7653721A498} - C:\WINDOWS\pmkret.dll [26/11/2007 19:08 266240]
"msmhost"= {0465387B-BF9A-4426-A471-972EEF1A4672} - C:\WINDOWS\msmhost.dll [ ]
"msmdev"= {C829707A-49EA-4CAF-A0AB-FD2D2D0647A6} - C:\WINDOWS\msmdev.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualCloneDrive]
"C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalService	Alerter WebClient LmHosts upnphost SSDPSRV

*Newly Created Service* - SSMDRV



-- End of Deckard's System Scanner: finished at 2007-11-27 19:19:28 ------------

 

Encore merci !

Anthony#10 Mega Power Member

Anthony#10

Posté(e)
Posté(e)

Bonsoir,

 

Tu disposes d'Ewido Anti-Malware qui est un utilitaire obsolète, il faut donc le désinstaller.

Je vois que tu as 2 AntiVirus (Avira AntiVir et Avast), il te faut en désinstaller un.

De plus, tu n'as aucun vrai pare-feu pour protéger ton PC des attaques extérieures !

 

Enregistre la procédure puisque tu n'auras pas accès à Internet.

De plus, exécute toutes ces étapes dans l'ordre indiqué.

Si tu as besoin d'explications, n'hésite pas à me demander avant de commencer la désinfection.

 

 

Etape 1 : AVG Anti-Spyware.

Télécharge et installe AVG Anti-Spyware 7.5

 

Lance AVG Anti-Spyware.

Clique sur l'onglet "Mise à jour".

Sous Mise à jour manuelle, clique sur Commencer la mise à jour.

Si besoin, sous Paramètres, insères les identifiants de ton proxy.

Attends la fin de la mise à jour et ferme AVG Anti-Spyware.

 

Etape 2 : Mode sans échec.

Dans le menu Démarrer, clique sur Arrêter l'ordinateur et clique sur Redémarrer.

Au début du redémarrage, tapote la touche F8 de ton clavier jusqu'à ce que les Options Avancés de Windows apparraissent.

Choisis le mode sans échec et appuis sur Enter.

Choisis ton compte usuel.

 

 

Etape 3 : SmitFraudFix.

Ouvre le dossier SmitFraudFix puis double clique sur SmitfraudFix.exe

Sélectionne 2 puis presse la touche Entrée pour supprimer l'infection.

A la question : Voulez-vous nettoyer le registre ? réponds O (oui)

A la question : Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage.

 

Note : Pour remettre le fond d'écran :

Démarrer--->Paramètres---->Panneau de configuration---->Affichage---->Onglet Bureau---->Bouton "Personnalisation du Bureau"---->Onglet Web

Dans la zone Pages Web, ne laisser que la ligne "Ma page d'accueil" en la décochant.

 

Etape 4 : HijackThis.

Ferme toutes les applications en cours sauf HijackThis.

Lance HijackThis

Clique sur le bouton Do a system scan only.

Coche les cases situées devant les lignes suivantes (si présentes).

 

O2 - BHO: MSVPS System - {31DE3194-C748-48BB-B620-2D0156B5E1AD} - C:\WINDOWS\werbetgxd.dll

 

O3 - Toolbar: The hdtip - {382C8A97-BFEF-47B5-9770-87C4DE651E37} - C:\WINDOWS\hdtip.dll

 

O21 - SSODL: gormet - {3B3D06C8-ED13-4DFB-B0EF-E7065B658AF3} - (no file)

O21 - SSODL: pmkret - {32FD8093-7A76-43C1-A39C-D7653721A498} - C:\WINDOWS\pmkret.dll

O21 - SSODL: msmhost - {0465387B-BF9A-4426-A471-972EEF1A4672} - C:\WINDOWS\msmhost.dll (file missing)

O21 - SSODL: msmdev - {C829707A-49EA-4CAF-A0AB-FD2D2D0647A6} - C:\WINDOWS\msmdev.dll (file missing)

 

Clique sur le bouton Fixed checked.

 

Etape 5 : AVG Anti-Spyware.

Lance AVG Anti-Spyware.

Clique sur l"Analyse".

Clique sur l'onglet "Paramètres".

Sous "Comment réagir ?", clique sur Actions recommandées et choisis Quarantaine.

Sous "Comment faire l'analyse", vérifie que toutes la cases soient cochées (Si ce n'est pas le cas, coche-les).

Sous "Programmes potentiellement dangereux", vérifie que toutes les cases soient cochées (Si ce n'est pas le cas, coche-les).

Sous "Rapports", vérifie que Générer un rapport après chaque analyse soit coché (Si ce n'est pas le cas, coche-le).

Clique sur l'onglet "Analyser" et clique sur Analyse complète du système.

A la fin de l'analyse, clique sur Appliquer toutes les infections.

Par la suite, clique sur Enregistrer le rapport et clique sur Enregistrer le rapport sous.

Ferme AVG Anti-Spyware.

 

Etape 6 : Redémarrage et nouveau message.

Redémarre en mode normal.

Génère un nouveau rapport de DSS.

Dans ta future réponse, envoie :

 

- Le rapport main.txt de DSS

- Le rapport de AVG Anti-Spyware (situé sur C:\Program Files\GrisoftAVG Anti Spyware 7.5\Reports)

- Le rapport de SmitFraudFix (C:\rapport.txt)

- Indique si le souci initial est toujours présent.

 

 

A suivre,

mackxs Member

mackxs

Posté(e)
  • Auteur
Posté(e) (modifié)
Bonsoir,

 

Tu disposes d'Ewido Anti-Malware qui est un utilitaire obsolète, il faut donc le désinstaller.

Je vois que tu as 2 AntiVirus (Avira AntiVir et Avast), il te faut en désinstaller un.

De plus, tu n'as aucun vrai pare-feu pour protéger ton PC des attaques extérieures !

Ewido pas à jour j'avoue... :/

Pour Antivir et Avast t'inquiète pas j'avais installé Antivir juste pour un scan il est déjàdésinstallé. :P

Comme firewall j'utilise celui de windows, je sais c'est le mal... tu me conseille quelque chose en partculier ?

 

Bon sinon je vais faire les manips à l'intant, je reposte ensuite.

Sympa de m'aider ^^

 

Euh j'ai peur là, dans mes docs je viens de voir une icone grisé : "default.rdp" "Connexion bureau àdistance"

QUID ??? :P

 

edit : pour info j'ai toujours les fenetres pour des antivirus ou autres logiciels bidons, et de plus en plus d'alertes Avast (par salves de 5-6) pour de trojan et adware

 

EDIT 2 : DISQUE DUR COMMENCE A FAIRE DE DROLES DE BRUITS APRES INSTALL DE AVG, j'avoue que là j'ai un peu la pression...

 

edit 3 (oui je suis chiant :/): non en fait c'est le lecteur disquette, on s'en fout :P

Modifié par mackxs
mackxs Member

mackxs

Posté(e)
  • Auteur
Posté(e)

Voici les rapports demandés :

 

DSS

Deckard's System Scanner v20071014.68
Run by Mackxs on 2007-11-27 21:17:10
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis (run as Mackxs.exe) ----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:17:16, on 27/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\hphmon05.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Mackxs\Bureau\dss.exe
C:\DOCUME~1\Mackxs\Bureau\Mackxs.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Alepsp20l - Realtek Semiconductor Corp. - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

--
End of file - 7857 bytes

-- Files created between 2007-10-27 and 2007-11-27 -----------------------------

2007-11-27 20:28:07		 0 d--hs---- C:\Documents and Settings\Mackxs\Recent
2007-11-27 20:16:58		 0 d-------- C:\Documents and Settings\Mackxs\Application Data\Grisoft
2007-11-27 20:15:58		 0 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-11-27 20:07:21		 0 d-------- C:\Documents and Settings\Mackxs\Application Data\AVG7
2007-11-27 20:07:15		 0 d-------- C:\Documents and Settings\LocalService\Application Data\AVG7
2007-11-27 20:07:06		 0 d-------- C:\Documents and Settings\All Users\Application Data\avg7
2007-11-27 18:59:59	  3490 --a------ C:\WINDOWS\system32\tmp.reg
2007-11-27 18:35:55		 0 d-------- C:\Documents and Settings\All Users\Application Data\Avira
2007-11-27 17:27:09		 0 d-------- C:\Program Files\CCleaner
2007-11-22 19:18:29		 0 d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2007-11-22 16:56:35		 0 d-------- C:\Documents and Settings\Mackxs\Application Data\Ahead
2007-11-22 16:55:51   3051520 -----n--- C:\WINDOWS\UNNeroVision.exe <Not Verified; Nero AG; Nero WebEngine>
2007-11-22 16:55:40	364544 -----n--- C:\WINDOWS\system32\TwnLib4.dll <Not Verified; Pegasus Imaging Corp.; TwnLib4>
2007-11-22 16:55:40		 0 d-------- C:\Documents and Settings\All Users\Application Data\Ahead
2007-11-22 16:55:39	 38912 -----n--- C:\WINDOWS\system32\picn20.dll <Not Verified; Pegasus Imaging Corp.; PEGASUS>
2007-11-22 16:55:26		 0 d-------- C:\Program Files\Yahoo!
2007-11-21 20:45:07	 47360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys <Not Verified; VSO Software; Patin couffin engine>
2007-11-21 20:45:07		 0 d-------- C:\Documents and Settings\Mackxs\Application Data\Vso
2007-11-21 20:45:07	 47360 --a------ C:\Documents and Settings\Mackxs\Application Data\pcouffin.sys <Not Verified; VSO Software; Patin couffin engine>
2007-11-16 20:10:16		 0 d-------- C:\Program Files\Fichiers communs\Hewlett-Packard
2007-11-16 20:07:34	 19696 -----n--- C:\WINDOWS\hpomdl05.dat
2007-11-16 20:07:34	 68984 --a------ C:\WINDOWS\hpoins05.dat
2007-11-16 20:07:26		 0 d-------- C:\temp
2007-11-16 19:32:33		 0 d-------- C:\Program Files\DVD Decrypter
2007-11-16 19:31:42		 0 d-------- C:\Documents and Settings\All Users\Application Data\DVD Shrink
2007-11-14 20:40:55		 0 d-------- C:\FXIWIN19
2007-11-14 20:40:49	 20976 --a------ C:\WINDOWS\system\CTL3D.DLL <Not Verified; Microsoft Corporation; 3d Windows Control>
2007-11-12 21:58:44		 0 d-------- C:\Documents and Settings\Mackxs\Application Data\dvdcss
2007-11-10 12:40:28	133120 --a------ C:\WINDOWS\system32\sndrec32.exe <Not Verified; Microsoft Corporation; Système d'exploitation Microsoft® Windows®>
2007-11-10 12:40:28	189952 --a------ C:\WINDOWS\system32\accwiz.exe <Not Verified; Microsoft Corporation; Système d'exploitation Microsoft® Windows®>
2007-11-10 12:40:27	347648 --a------ C:\WINDOWS\system32\mspaint.exe <Not Verified; Microsoft Corporation; Système d'exploitation Microsoft® Windows®>
2007-11-10 12:40:27	124928 --a------ C:\WINDOWS\system32\mplay32.exe <Not Verified; Microsoft Corporation; Système d'exploitation Microsoft® Windows®>
2007-11-10 12:40:26	104448 --a------ C:\WINDOWS\system32\clipbrd.exe <Not Verified; Microsoft Corporation; Système d'exploitation Microsoft® Windows®>
2007-11-10 12:40:25	539136 --a------ C:\WINDOWS\system32\spider.exe <Not Verified; Microsoft Corporation; Système d'exploitation Microsoft® Windows®>
2007-10-28 10:59:56		 0 d-------- C:\Documents and Settings\Mackxs\Application Data\Apple Computer


-- Find3M Report ---------------------------------------------------------------

2007-11-27 20:30:56		 0 d-------- C:\Program Files\Steam
2007-11-27 20:30:38	 12956 --a------ C:\WINDOWS\system32\tablet.dat
2007-11-27 19:09:58		33 --a------ C:\Documents and Settings\Mackxs\Application Data\pcouffin.log
2007-11-27 19:09:58	  1144 --a------ C:\Documents and Settings\Mackxs\Application Data\pcouffin.inf
2007-11-27 19:09:58	  7887 --a------ C:\Documents and Settings\Mackxs\Application Data\pcouffin.cat
2007-11-26 11:09:59	458120 --a------ C:\WINDOWS\system32\perfh00C.dat
2007-11-26 11:09:59	 70430 --a------ C:\WINDOWS\system32\perfc00C.dat
2007-11-23 19:14:52	  1660 --a------ C:\WINDOWS\mozver.dat
2007-11-23 18:26:21		 0 d-------- C:\Program Files\eMule
2007-11-22 16:55:43		 0 d-------- C:\Program Files\Ahead
2007-11-16 20:10:16		 0 d-------- C:\Program Files\Fichiers communs
2007-11-16 20:08:30		 0 d-------- C:\Program Files\HP
2007-11-15 18:27:42		 0 d-------- C:\Documents and Settings\Mackxs\Application Data\Canon
2007-11-10 12:40:39		 0 d-------- C:\Program Files\Windows NT
2007-10-28 20:12:11		 0 d-------- C:\Documents and Settings\Mackxs\Application Data\Adobe
2007-10-22 17:55:19		 0 d-------- C:\Program Files\Fichiers communs\Adobe
2007-10-22 17:41:45		 0 d-------- C:\Program Files\Bonjour
2007-10-22 17:37:47		 0 d-------- C:\Program Files\Fichiers communs\Macrovision Shared
2007-10-20 17:29:36		 0 d-------- C:\Documents and Settings\Mackxs\Application Data\Skype
2007-10-14 16:19:05		 0 d-------- C:\Documents and Settings\Mackxs\Application Data\Move Networks
2007-10-10 13:59:05		 0 d-------- C:\Documents and Settings\Mackxs\Application Data\Sun
2007-10-10 13:58:53		 0 d-------- C:\Program Files\Java
2007-10-10 13:56:33		 0 d-------- C:\Program Files\Fichiers communs\Java
2007-10-08 16:27:06		 0 d-------- C:\Program Files\AndreaMosaic
2007-10-07 11:22:15		 0 d-------- C:\Program Files\QuickTime
2007-10-07 11:21:55		 0 d-------- C:\Program Files\Apple Software Update
2007-10-05 19:11:28	737280 --a------ C:\WINDOWS\iun6002.exe <Not Verified; Indigo Rose Corporation; Setup Factory 6.0 Runtime Module>
2007-09-30 20:40:39		 0 d-------- C:\Program Files\Samsung
2007-09-30 20:40:39		 0 d--h----- C:\Program Files\InstallShield Installation Information
2007-09-30 15:46:03		 0 d-------- C:\Documents and Settings\Mackxs\Application Data\FileZilla
2007-09-17 19:23:00	823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll <Not Verified; DivX, Inc.; DivX®>
2007-09-17 19:23:00	823296 --a------ C:\WINDOWS\system32\divx_xx07.dll <Not Verified; DivX, Inc.; DivX®>
2007-09-17 19:22:58	802816 --a------ C:\WINDOWS\system32\divx_xx11.dll <Not Verified; DivX, Inc.; DivX?>
2007-09-17 19:22:58	739840 --a------ C:\WINDOWS\system32\DivX.dll <Not Verified; DivX, Inc.; DivX®>
2007-09-03 10:48:05	 19790 --a------ C:\WINDOWS\HPHins02.dat


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [10/05/2006 10:12]
"NVRaidService"="C:\WINDOWS\system32\nvraidservice.exe" [07/12/2004 09:16]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [19/07/2006 11:03 C:\WINDOWS\KHALMNPR.Exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [19/07/2006 11:03 C:\WINDOWS\KHALMNPR.Exe]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [06/09/2007 11:06]
"SpeedTouch USB Diagnostics"="C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" [05/09/2003 05:59]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe" [15/12/2004 18:24]
"HPHUPD05"="C:\Program Files\Hewlett-Packard\\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe" [07/01/2006 05:26]
"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [22/12/2003 07:38]
"HP Software Update"="C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [05/12/2003 14:41]
"HPHmon05"="C:\WINDOWS\system32\hphmon05.exe" [07/01/2006 05:26]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11/05/2007 02:06]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [29/06/2007 05:24]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [25/09/2007 00:11]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [11/06/2007 10:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [19/08/2004 12:09]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [19/01/2007 11:55]
"Steam"="c:\program files\steam\steam.exe" [15/11/2007 17:00]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"nlsf"=cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll"
"tscuninstall"=%systemroot%\system32\tscupgrd.exe

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [24/08/2007 18:55:17]
TabUserW.exe.lnk - C:\WINDOWS\system32\WTablet\TabUserW.exe [01/09/2007 11:47:32]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualCloneDrive]
"C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalService	Alerter WebClient LmHosts upnphost SSDPSRV




-- End of Deckard's System Scanner: finished at 2007-11-27 21:17:43 ------------

 

Smithfraudfix

SmitFraudFix v2.256

Rapport fait à 20:25:23,15, 27/11/2007
Executé à partir de D:\Mes documents\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1	   localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\hdtip.dll supprimé
C:\WINDOWS\monhop.exe supprimé
C:\WINDOWS\pmkret.dll supprimé
Deleting [HKEY_CLASSES_ROOT\CLSID\{32FD8093-7A76-43C1-A39C-D7653721A498}]
C:\WINDOWS\privacy_danger\ supprimé
C:\WINDOWS\werbet???.dll supprimé
C:\Program Files\RichVideoCodec\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B467F199-0727-4B46-B4F7-D55449DFFF7A}: NameServer=80.10.246.1 81.253.149.10
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B467F199-0727-4B46-B4F7-D55449DFFF7A}: NameServer=80.10.246.1 80.10.246.132
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B467F199-0727-4B46-B4F7-D55449DFFF7A}: NameServer=80.10.246.1 81.253.149.10
HKLM\SYSTEM\CS3\Services\Tcpip\..\{B467F199-0727-4B46-B4F7-D55449DFFF7A}: NameServer=81.253.149.9 80.10.246.3


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé. 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

Pour SVG j'ai pas de rapport car l'option était grisée, mais de toutes façons seuls 16 cookies ont été trouvés.

 

Sinon : -Smitfraudfix ne m'a pas demandé "Corriger le fichier infecté ?" mais le reste tout comme prévu.

-Après ce passage en mode sans échec et le travail de smitfraudfix mon wallpaper était déjà revenu :P

-Dans HiJackThis pas de lignes O21

 

Finalement : -Wallapaper qui fait mal aux yeux disparu

-Retour du gestionnaire des tâches

-Plus d'alertes Avast jusqu'à maintenant

 

...Ca veut dire que c'est nettoyé ? :P Si oui, je t'aime, sinon,... je t'aime quand même !

 

Si je fais les mêmes manips sur l'ordi de ma topine ça marchera de aussi ? (exactement même infections puisque de la même source)

 

Merci à toi pour toute ton aide ! :P Zebulon toujours au top àce que je vois !

Anthony#10 Mega Power Member

Anthony#10

Posté(e)
Posté(e)

Bonjour,

 

Les icônes grisés, que tu vois, sont des fichiers légitimes de Windows.

 

Si je fais les mêmes manips sur l'ordi de ma topine ça marchera de aussi ? (exactement même infections puisque de la même source)

 

La manipulation a été créée uniquement pour ce PC, il ne faut en aucun cas l'exécuter sur un autre PC.

 

Si le PC se comporte correctement (plus de dysfonctionnement) :

 

Il est possible de supprimer SmitFraudFix (avec ses rapports) et DSS (avec ses rapports).

La version d'essai de AVG Anti-Spyware reste utilisable sans limitation de durée, mais sans surveillance en temps réel ni mise à jour automatique.

 

Il est nécessaire de créer un nouveau point de restauration :

http://cybersecurite.xooit.com/t120-Desact...-du-systeme.htm

http://cybersecurite.xooit.com/t121-reacti...-du-systeme.htm

http://cybersecurite.xooit.com/t122-Creer-...-du-systeme.htm

 

Il est possible d'alléger la vitesse de démarrage et de libérer quelques ressources système.

Tu peux corriger ces lignes à l'aide de HijackThis.

 

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [steam] "c:\program files\steam\steam.exe" -silent

O4 - Global Startup: Logitech SetPoint.lnk = ?

O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe

 

Si tu as ensuite des regrets, il te suffira de recocher ces lignes.

 

Concernant un vrai pare-feu, Voir ICI et ICI.

 

Si tu considères que ton sujet est résolu, ajoute la mention [Résolu] en éditant le titre du premier message.

 

Anthony.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...