Infection avec TR/Drop.Agent.dgo.8

[ClaudeR]

Bonjour

 

J'ai oublié de te dire, que depuis toute ces operations, j'ai maintenant un message au démarage de XP qui dit Generic Host system 32...

et Firefox ferme encore de facon cavaliere...Pas vraiment utilisable

 

Merci

[Gof]

Bonjour ClaudeR

 

Bon AVG AS donne un rapport impressionnant, mais ce n'est pas trop inquiétant. C'est beaucoup de fichiers infectieux qui étaient placés dans la quarantaine des outils qu'on a utilisés, de fichiers contenus dans tes points de restauration (pas dangereux si tu ne restaures pas), et par contre, de quelques fichiers déclarés dans ton répertoire "musique".

 

Vide la quarantaine.

 

Assure toi d'avoir l'accès aux fichiers et dossiers cachés.

Pour afficher les fichiers et dossiers cachés du systéme :

1. Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
   
2. Cocher la case : Afficher les fichiers et dossiers cachés
   
3. Décocher la case : Masquer les extensions des fichiers dont le type est connu
   
4. Décocher la case : Masquer les fichiers protégés du système d'exploitation
   ---> Répondre OUI à la demande de confirmation
   
5. Cliquer Appliquer puis OK
   

 

Puis rends toi sur ce lien : http://secubox.gateweb.org/mad.php

 

Clique sur Parcourir et rends toi sur ce fichier à cet emplacement : C:\WINDOWS\system32\iebrowserc.dll

En message destiné à l'équipe, copie-colle ce lien : http://forum.zebulon.fr/index.php?s=&showtopic=137484&view=findpost&p=1166933

Puis clique sur Envoyer. Dis moi quand ce sera fait et si tu n'as pas rencontré de soucis.

 

Ensuite, fais analyser ce fichier en ligne comme indiqué ici :

 

Rends toi sur ce lien : Virus Total

• Clique sur Parcourir
  
• Rends toi jusque sur le fichier
  
• Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

 

A bientôt.

[ClaudeR]

Bonjour..Belle journée ?

 

J'ai envoyé le fichier Tel que demandé, tout c'est fait correctement.

 

J'ai fait analyser chez Virus Total, qui m,a dit que ce fichier avait déjà été analyser le 27-01.

Voici quand même le rapport...

 

Fichier iebrowserc.dll reçu le 2008.01.27 20:31:44 (CET)Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2008.1.26.10 2008.01.25 -

AntiVir 7.6.0.56 2008.01.27 -

Authentium 4.93.8 2008.01.26 -

Avast 4.7.1098.0 2008.01.27 -

AVG 7.5.0.516 2008.01.26 -

BitDefender 7.2 2008.01.27 -

CAT-QuickHeal 9.00 2008.01.25 -

ClamAV 0.91.2 2008.01.27 -

DrWeb 4.44.0.09170 2008.01.27 -

eSafe 7.0.15.0 2008.01.16 -

eTrust-Vet 31.3.5486 2008.01.26 -

Ewido 4.0 2008.01.27 -

FileAdvisor 1 2008.01.27 -

Fortinet 3.14.0.0 2008.01.27 -

F-Prot 4.4.2.54 2008.01.26 -

F-Secure 6.70.13260.0 2008.01.27 -

Ikarus T3.1.1.20 2008.01.27 -

Kaspersky 7.0.0.125 2008.01.27 -

McAfee 5216 2008.01.26 -

Microsoft 1.3109 2008.01.27 -

NOD32v2 2825 2008.01.27 -

Norman 5.80.02 2008.01.24 -

Panda 9.0.0.4 2008.01.27 Suspicious file

Prevx1 V2 2008.01.27 -

Rising 20.28.62.00 2008.01.27 -

Sophos 4.25.0 2008.01.27 -

Sunbelt 2.2.907.0 2008.01.25 -

Symantec 10 2008.01.27 -

TheHacker 6.2.9.200 2008.01.27 -

VBA32 3.12.2.5 2008.01.21 -

VirusBuster 4.3.26:9 2008.01.27 -

Webwasher-Gateway 6.6.2 2008.01.27 -

 

Information additionnelle

File size: 294912 bytes

MD5: 7a336b763edca17dc99da698d92816b3

SHA1: c690b35c40850ee86351c7558720c29ac5973cdc

PEiD: -

 

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2008.1.26.10 2008.01.25 -

AntiVir 7.6.0.56 2008.01.27 -

Authentium 4.93.8 2008.01.26 -

Avast 4.7.1098.0 2008.01.27 -

AVG 7.5.0.516 2008.01.26 -

BitDefender 7.2 2008.01.27 -

CAT-QuickHeal 9.00 2008.01.25 -

ClamAV 0.91.2 2008.01.27 -

DrWeb 4.44.0.09170 2008.01.27 -

eSafe 7.0.15.0 2008.01.16 -

eTrust-Vet 31.3.5486 2008.01.26 -

Ewido 4.0 2008.01.27 -

FileAdvisor 1 2008.01.27 -

Fortinet 3.14.0.0 2008.01.27 -

F-Prot 4.4.2.54 2008.01.26 -

F-Secure 6.70.13260.0 2008.01.27 -

Ikarus T3.1.1.20 2008.01.27 -

Kaspersky 7.0.0.125 2008.01.27 -

McAfee 5216 2008.01.26 -

Microsoft 1.3109 2008.01.27 -

NOD32v2 2825 2008.01.27 -

Norman 5.80.02 2008.01.24 -

Panda 9.0.0.4 2008.01.27 Suspicious file

Prevx1 V2 2008.01.27 -

Rising 20.28.62.00 2008.01.27 -

Sophos 4.25.0 2008.01.27 -

Sunbelt 2.2.907.0 2008.01.25 -

Symantec 10 2008.01.27 -

TheHacker 6.2.9.200 2008.01.27 -

VBA32 3.12.2.5 2008.01.21 -

VirusBuster 4.3.26:9 2008.01.27 -

Webwasher-Gateway 6.6.2 2008.01.27 -

 

Information additionnelle

File size: 294912 bytes

MD5: 7a336b763edca17dc99da698d92816b3

SHA1: c690b35c40850ee86351c7558720c29ac5973cdc

PEiD: -

[Gof]

Bonjour ClaudeR

 

Ok, bon boulot. Le fichier est infectieux.

 

Relance un scan HijackThis

• Clique sur Do a system scan only et coche les lignes ci-dessous :
  

• O2 - BHO: BrowserCmp - {1D8282E6-BC4F-469B-AAED-7E4FF077AD93} - C:\WINDOWS\system32\iebrowserc.dll
  

• Ferme toutes les fenêtres sauf HijackThis et Fix Checked.
  

Télécharge Winseeker de Bibi26 sur ton bureau.

• Décompresse le sur ton bureau.
  
• Double-clique sur le répertoire créé et sur le fichier Winseeker.exe pour l'exécuter.
  
• Clique sur l'onglet Fichiers - Recherche
  
• Dans la fenêtre de saisie Fichier/dossier, copie-colle les éléments suivants [sans les mots CODE]
  (attention, ne change pas la syntaxe, tout doit être sur une seule ligne et attaché, tu peux t'en assurer en copiant d'abord la ligne dans le bloc notes, en t'assurant que "retour automatique à la ligne" soit décoché, et en recopiant-collant dans winseeker) :
  

11-9df8e247b1ab6e4ea9303b15294a3428.exe;s11k..exe;slmss.exe;adrot-uninst.exe;adrotate.dll;adrotate1.dll;adspipe.dll;brrotate.dll;cpmrotate.dll;csrss.exe;mwsvm.exe;mwsvm.ocx;nodeipproc.dll;uninsticn.exe;iebrowserc.dll

• Laisse la fenêtre de saisie Date vide
  
• Dans Répertoire à scanner, copie-colle : C:\
  
• Assure toi que la case Indiquer le chemin et scanner le répertoire de manière récursive soient cochées
  
• Clique sur l'onglet GO !
  
• Clique sur le bouton GO !
  

L'outil va travailler et générer un rapport, copie-colle le à la suite. Attends l'interprétation du rapport, tous les fichiers détectés ne seront pas infectieux.

[ClaudeR]

Bonjour

 

 

Voici le rapport pas grand chose...

 

WINSeeker 1.0B - bibi26

 

Fichier/dossier recherché : 11-9df8e247b1ab6e4ea9303b15294a3428.exe;s11k..exe;slmss.exe;adrot-uninst.exe;adrotate.dll;adrotate1.dll;adspipe.dll;brrotate.dll;cpmrotate.dll;csr

Date recherchée : Aucune (jj/mm/aaaa)

Répertoire à scanner : c:\ (Récursif)

 

--> Fichiers/Dossiers trouvés

 

 

--> Fin du rapport

[Gof]

Bonsoir ClaudeR

 

La ligne est mal passée. On va décomposer la recherche de ces fichiers en deux temps.

 

Recommence mais en copiant-collant dans la fenêtre de saisie Fichier/dossier la ligne suivante :

 

[code]11-9df8e247b1ab6e4ea9303b15294a3428.exe;s11k..exe;slmss.exe;adrot-uninst.exe;adrotate.dll;adrotate1.dll;adspipe.dll;brrotate.dll;cpmrotate.dll[/code]

 

Tous les autres paramètres et cases à cocher sont identiques à mon message précédent.

 

Puis renouvelle, avec cette ligne à copier coller :

 

[code]csrss.exe;mwsvm.exe;mwsvm.ocx;nodeipproc.dll;uninsticn.exe;iebrowserc.dll[/code]

 

Tu auras donc deux rapports à me communiquer.

[ClaudeR]

Allo GOF...???

 

Où es-tu rendu ?? Occupé ??

 

Oublie moi pas SVP

[ClaudeR]

Bonjour..Je n'avais pas vu ton dernier message...

Voici donc le premier message

 

WINSeeker 1.0B - bibi26

 

Fichier/dossier recherché : 11-9df8e247b1ab6e4ea9303b15294a3428.exe;s11k..exe;slmss.exe;adrot-uninst.exe;adrotate.dll;adrotate1.dll;adspipe.dll;brrotate.dll;cpmrotate.dll

Date recherchée : Aucune (jj/mm/aaaa)

Répertoire à scanner : C: (Récursif)

 

--> Fichiers/Dossiers trouvés

 

 

--> Fin du rapport

 

et voici le second

 

WINSeeker 1.0B - bibi26

 

Fichier/dossier recherché : csrss.exe;mwsvm.exe;mwsvm.ocx;nodeipproc.dll;uninsticn.exe;iebrowserc.dll

Date recherchée : Aucune (jj/mm/aaaa)

Répertoire à scanner : C:\ (Récursif)

 

--> Fichiers/Dossiers trouvés

 

- [Fichier] C:\WINDOWS\system32\csrss.exe

- [Fichier] C:\WINDOWS\system32\iebrowserc.dll

 

--> Fin du rapport

[Gof]

Bonjour ClaudeR

 

Je ne t'oubliais pas, j'attendais ta réponse

 

Relance un scan HijackThis

• Clique sur Do a system scan only et coche les lignes ci-dessous :
  

• O2 - BHO: BrowserCmp - {1D8282E6-BC4F-469B-AAED-7E4FF077AD93} - C:\WINDOWS\system32\iebrowserc.dll
  

• Ferme toutes les fenêtres sauf HijackThis et Fix Checked.
  

Puis, assure toi d'avoir l'accès aux fichiers et dossiers cachés.

Pour afficher les fichiers et dossiers cachés du systéme :

• Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
  
• Cocher la case : Afficher les fichiers et dossiers cachés
  
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
  
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
  ---> Répondre OUI à la demande de confirmation
  
• Cliquer Appliquer puis OK
  

 

Vérifie que le fichier suivant n'est pas présent (si tu le trouves, supprime le) :

• C:\WINDOWS\system32\iebrowserc.dll
  

Vide ta corbeille.

 

Je vais te faire effectuer à présent une analyse en ligne, il y aura sans doute quelques détections liées aux quarantaines des divers outils utilisés, ne t'inquiète donc pas des détections trouvées. Profites en pour me donner des nouvelles du pc en même temps.

 

• Fais un scan en ligne Kaspersky
  
• Clique sur Accept
  
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
  
• clique une nouvelle fois sur "Accept"
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Colle ce rapport dans ta réponse sur le forum.

Aide en cas de problème :Cybersécurité

NOTE: Le scan est à faire avec Internet Explorer.

[ClaudeR]

Bonjour..

Penses-tu qu'on va s'en sortir...Merci encore...

 

Je n'avais pas cette entree dans Hijack..J'en joins un nouveau

 

J'ai bien détuit la DLL (Il me semble que ca fais deux fois!!!) et vider la corbeille

 

Voici le rapport KAper...c'est épeurant non?

 

-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER REPORT

Thursday, February 07, 2008 7:23:37 AM

Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky Online Scanner version: 5.0.98.0

Kaspersky Anti-Virus database last update: 6/02/2008

Kaspersky Anti-Virus database records: 552737

-------------------------------------------------------------------------------

 

Scan Settings:

Scan using the following antivirus database: extended

Scan Archives: true

Scan Mail Bases: true

 

Scan Target - My Computer:

C:\

D:\

E:\

F:\

G:\

H:\

I:\

J:\

K:\

L:\

N:\

 

Scan Statistics:

Total number of scanned objects: 118956

Number of viruses found: 19

Number of infected objects: 35

Number of suspicious objects: 0

Duration of the scan process: 10:09:52

 

Infected Object Name / Virus Name / Last Action

C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Windows NT\MSFax\ActivityLog\InboxLOG.txt Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Windows NT\MSFax\ActivityLog\OutboxLOG.txt Object is locked skipped

C:\Documents and Settings\Compaq_Propriétaire\Application Data\Microsoft\Modèles\Normal.dot Object is locked skipped

C:\Documents and Settings\Compaq_Propriétaire\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Historique\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Historique\History.IE5\MSHist012008020620080207\index.dat Object is locked skipped

C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Compaq_Propriétaire\ntuser.dat Object is locked skipped

C:\Documents and Settings\Compaq_Propriétaire\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\Gabriel\Local Settings\Application Data\Microsoft\CardSpace\CardSpace.db Object is locked skipped

C:\Documents and Settings\Gabriel\Local Settings\Application Data\Microsoft\CardSpace\CardSpace.db.shadow Object is locked skipped

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\Program Files\Mozilla Firefox\components\nsBrowserOpt.dll Infected: not-a-virus:AdWare.Win32.BHO.ww skipped

C:\qoobox\Quarantine\C\Program Files\MyWebSearch\bar\1.bin\F3BROVLY.DLL.vir Infected: not-a-virus:AdTool.Win32.MyWebSearch.at skipped

C:\qoobox\Quarantine\C\Program Files\MyWebSearch\bar\1.bin\F3DTACTL.DLL.vir Infected: not-a-virus:AdTool.Win32.MyWebSearch.bc skipped

C:\qoobox\Quarantine\C\Program Files\MyWebSearch\bar\1.bin\F3HISTSW.DLL.vir Infected: not-a-virus:AdTool.Win32.MyWebSearch skipped

C:\qoobox\Quarantine\C\Program Files\MyWebSearch\bar\1.bin\F3HTMLMU.DLL.vir Infected: not-a-virus:AdTool.Win32.MyWebSearch.l skipped

C:\qoobox\Quarantine\C\Program Files\MyWebSearch\bar\1.bin\F3HTTPCT.DLL.vir Infected: not-a-virus:AdTool.Win32.MyWebSearch.af skipped

C:\qoobox\Quarantine\C\Program Files\NewDotNet\nncore.dll.vir Infected: not-a-virus:AdWare.Win32.NewDotNet.l skipped

C:\qoobox\Quarantine\C\Program Files\NewDotNet\nnrun.exe.vir Infected: not-a-virus:AdWare.Win32.OneStep.c skipped

C:\qoobox\Quarantine\C\WINDOWS\system32\dcads_sidebar.dll.vir Infected: not-a-virus:AdWare.Win32.Agent.zm skipped

C:\qoobox\Quarantine\C\WINDOWS\system32\f3PSSavr.scr.vir Infected: not-a-virus:AdTool.Win32.MyWebSearch skipped

C:\qoobox\Quarantine\C\WINDOWS\system32\rlls.dll.vir Infected: not-a-virus:AdWare.Win32.RK.r skipped

C:\qoobox\Quarantine\C\WINDOWS\system32\vgeysulm .exe.vir Infected: Trojan-Downloader.Win32.Agent.gwe skipped

C:\qoobox\Quarantine\catchme2008-01-20_220949.10.zip/ssttq.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.gen skipped

C:\qoobox\Quarantine\catchme2008-01-20_220949.10.zip ZIP: infected - 1 skipped

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

C:\System Volume Information\_restore{5468DB36-2FF3-44DE-B67D-B49088DCAAFF}\RP277\change.log Object is locked skipped

C:\VundoFix Backups\qmeowqsh .exe.bad Infected: Trojan-Downloader.Win32.Agent.gwe skipped

C:\VundoFix Backups\ssqqnkh.dll.bad Infected: not-a-virus:AdWare.Win32.Virtumonde.gen skipped

C:\VundoFix Backups\ssttq.dll.bad Infected: not-a-virus:AdWare.Win32.Virtumonde.gen skipped

C:\VundoFix Backups\vgeysulm .exe.bad Infected: Trojan-Downloader.Win32.Agent.gwe skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\ModemLog_Motorola SM56 Speakerphone Modem.txt Object is locked skipped

C:\WINDOWS\Resources\Themes\177743.exe/WISE0016.BIN Infected: not-a-virus:AdWare.Win32.NewDotNet skipped

C:\WINDOWS\Resources\Themes\177743.exe/WISE0017.BIN Infected: not-a-virus:AdTool.Win32.WhenU.a skipped

C:\WINDOWS\Resources\Themes\177743.exe/WISE0020.BIN Infected: not-a-virus:AdWare.Win32.Relevant.a skipped

C:\WINDOWS\Resources\Themes\177743.exe WiseSFX: infected - 3 skipped

C:\WINDOWS\Resources\Themes\177743.exe WiseSFXDropper: infected - 3 skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped

C:\WINDOWS\Sti_Trace.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped

C:\WINDOWS\system32\config\ACEEvent.evt Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\default Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\software Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\system Object is locked skipped

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\h323log.txt Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

C:\WINDOWS\system32\wfgkcboz.exe Infected: not-a-virus:AdWare.Win32.NaviPromo.gen skipped

C:\WINDOWS\wiadebug.log Object is locked skipped

C:\WINDOWS\wiaservc.log Object is locked skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

D:\System Volume Information\_restore{5468DB36-2FF3-44DE-B67D-B49088DCAAFF}\RP277\change.log Object is locked skipped

F:\Musique\non classer3 Track 3.wma Infected: Trojan-Downloader.WMA.Wimad.l skipped

F:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

F:\System Volume Information\_restore{5468DB36-2FF3-44DE-B67D-B49088DCAAFF}\RP277\change.log Object is locked skipped

K:\Gabriel\setupdavid2012.exe/PRE/data/{E3C15744-37B4-4FA2-8CB4-34952B72F0A1}/0/ZangoInstaller.exe/ClientAX.dll Infected: not-a-virus:AdWare.Win32.180Solutions.b skipped

K:\Gabriel\setupdavid2012.exe/PRE/data/{E3C15744-37B4-4FA2-8CB4-34952B72F0A1}/0/ZangoInstaller.exe Infected: not-a-virus:AdWare.Win32.180Solutions.b skipped

K:\Gabriel\setupdavid2012.exe/PRE Infected: not-a-virus:AdWare.Win32.180Solutions.b skipped

K:\Gabriel\setupdavid2012.exe GhostInstaller: infected - 3 skipped

K:\Gabriel\setupdavid2012.exe UPX: infected - 3 skipped

K:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

K:\System Volume Information\_restore{5468DB36-2FF3-44DE-B67D-B49088DCAAFF}\RP277\change.log Object is locked skipped

L:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

L:\System Volume Information\_restore{5468DB36-2FF3-44DE-B67D-B49088DCAAFF}\RP277\change.log Object is locked skipped

N:\Documents and Settings\Compaq_Propriétaire\Mes documents\Stronghold 2\patch.exe Infected: not-a-virus:FraudTool.Win32.ErrorDoctor.b skipped

N:\Download\181024.exe/WISE0016.BIN Infected: not-a-virus:AdWare.Win32.OneStep.c skipped

N:\Download\181024.exe/WISE0019.BIN Infected: not-a-virus:AdWare.Win32.Relevant.a skipped

N:\Download\181024.exe/WISE0020.BIN Infected: not-a-virus:AdTool.Win32.WhenU.a skipped

N:\Download\181024.exe WiseSFX: infected - 3 skipped

N:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

N:\System Volume Information\_restore{5468DB36-2FF3-44DE-B67D-B49088DCAAFF}\RP278\A0136183.exe Object is locked skipped

N:\System Volume Information\_restore{5468DB36-2FF3-44DE-B67D-B49088DCAAFF}\RP278\A0136184.exe Object is locked skipped

N:\System Volume Information\_restore{5468DB36-2FF3-44DE-B67D-B49088DCAAFF}\RP278\A0136185.exe Object is locked skipped

N:\System Volume Information\_restore{5468DB36-2FF3-44DE-B67D-B49088DCAAFF}\RP278\A0136186.exe Object is locked skipped

N:\System Volume Information\_restore{5468DB36-2FF3-44DE-B67D-B49088DCAAFF}\RP278\A0136187.exe Object is locked skipped

N:\System Volume Information\_restore{5468DB36-2FF3-44DE-B67D-B49088DCAAFF}\RP278\A0136188.exe Object is locked skipped

N:\System Volume Information\_restore{5468DB36-2FF3-44DE-B67D-B49088DCAAFF}\RP278\change.log Object is locked skipped

 

Scan process completed.

 

 

Et le nouveau Hijack : (Peux=tu me dire ce que je peux enlever qui est inutile dans le demarrage)

 

Logfile of HijackThis v1.99.1

Scan saved at 07:24:17, on 2008-02-07

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

N:\AntiVir PersonalEdition Classic\sched.exe

N:\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\TRENDnet\TEW-424UB\TRENDnet.exe

C:\Program Files\TRENDnet\TEW-424UB\SiSWLSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\fxssvc.exe

N:\iPod\bin\iPodService.exe

C:\WINDOWS\System32\svchost.exe

N:\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\internet explorer\iexplore.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Documents and Settings\Compaq_Propriétaire\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ca/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [avgnt] "N:\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Mises à jour planifiées de Quicken.lnk = ?

O4 - Global Startup: Wireless Configuration Utility HW.32.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)

O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm (HKCU)

O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm (HKCU)

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1174783407203

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - N:\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - N:\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - N:\iPod\bin\iPodService.exe

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SiS WirelessLan Service (SiSWLSvc) - Unknown owner - C:\Program Files\TRENDnet\TEW-424UB\SiSWLSvc.exe

 

 

Merci