Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

PC infecté? [résolu]

Invité Jérôme

Par Invité Jérôme
dans Analyses et éradication malwares

 Partager

Messages recommandés

oGu Godlike Member

oGu

Posté(e)
Posté(e) (modifié)

Impecc'!

 

Tu peux me tutoyer if u want.

 

Comme le dit Wullfk, y'a du boulot!!

 

flechedroitets2.pngSUPPRIMER UN SERVICE

 

 

Boonty Games est un nid à saleté!

 

  • Dans le menu Démarrer, clique sur "exécuter"
  • Saisis cmd et valide avec "ok"
  • Dans l'invite qui s'ouvre, copie et colle cette ligne
     
    sc stop BOONTY

  • Valide avec OK
  • Copie-colle maintenant cette commande dans la fenêtre:
     
    sc delete BOONTY

 

 

 

f_olive.gifCOMBOFIX

 

Comme indiqué sur l'image, déplace le fichier Microsoft que tu viens de télécharger et dépose-le sur ComboFix:

 

rc.gif

 

ComboFix va maintenant installer automatiquement la Console de Récupération Windows sur votre ordinateur, et celle-ci s'affichera en tant que nouvelle option au démarrage de votre ordinateur. La Console pourra être utile en cas de coup dur. C'est une simple précaution, qui a déjà sauvé nombre de machines!

 

 

 

flechedroitets2.pngCREATION/EXECUTION D'UN CFSCRIPT

Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement.

 

  • Ouvre un nouveau fichier du Bloc-notes
  • "Copie/Colle" tout le contenu de la boîte Code ci-dessous (mais n'inclus pas le mot "Code") dans le fichier texte du bloc-note :
     
    KillAll::

File::
C:\WINDOWS\pvnsmfor.dll
C:\WINDOWS\system32\nvnugoqy.dll
C:\WINDOWS\vbksrofa.dll
C:\WINDOWS\mpfanvqg.dll

Folder::
C:\Documents and Settings\All Users.WINDOWS\Application Data\Adsl Software Limited
C:\Program Files\Fichiers communs\BOONTY Shared


  • Sauvegarde ce fichier sur ton Bureau en l'appelant IMPERATIVEMENT CFScript.txt
     
    ATTENTION: ce script a été conçu spécifiquement pour le cas de Jérôme, ne pas l'utiliser pour votre propre machine!!

  • Désactive ton antivirus et ton antispyware
     

  • Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe
    ComboFix sera lancé.
     
    CFScript.gif
  • Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
  • Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran.
  • Soumet le fichier en cliquant "OK"
  • Enfin, poste les deux rapports suivants dans ta prochaine réponse :
     
    - Combofix.txt (il est stocké ici: > C:\ComboFix.txt)
    - Un nouveau rapport HijackThis

Modifié par oGu
je-rom Extrem Member

je-rom

Posté(e)
Posté(e)

Oui oGu, j'ai déjà un problème pour éliminer Boonty Games. Tu me dis de saisir cmd dans éxécuter et de cliquer sur OK. Puis de faire un copier coller de sc stop BOONTY, mais dans l'invite qui s'ouvre, lorsque je colle ce que tu me dis il n'y a pas de nouvelle fenêtre après qui s'ouvre. Et on ne peut pas valider en cliquant sur OK, je peux juste appuyer sur ENTREE.

Après avoir taper ENTREE, il y a écrit: le service spùcifiù n'existe pas en tant que service installù

 

( c'est vraiment écrit comme tel)

oGu Godlike Member

oGu

Posté(e)
Posté(e)

Arf oui, je voulais dire "entrée" et pas "ok"...Le service Boonty c'est secondaire, passe à la suite!

je-rom Extrem Member

je-rom

Posté(e)
Posté(e)

Désolé oGu, j'ai mis du temps car j'ai du me tromper, mais regarde s'il te plaît. En fait j'ai lancé 2 fois ComboFix. Donc il y a 2 rapports, je pense que le premier n'est pas bon mais le 2ème oui. Ensuite, je t'ai mi le rapport de HJT.

 

J'ai vu que ComboFix m'a exterminé MalWarrior 2008, mais dès que je lance internet, j'ai toujours comme page de départ un site d'anti-virus nommé: UltimateCleaner 2007.

 

De plus, mon fond d'écran est tout blanc et l'image ne s'affiche pas quand on l'applique lorqu'on va dans: panneau de configuration/affichage/bureau.

 

Rapport Combo n°1:

 

ComboFix 08-05-12.1 - lagarde 2008-05-14 19:42:04.5 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.120 [GMT 2:00]

Endroit: C:\Documents and Settings\lagarde\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\lagarde\Bureau\WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Documents and Settings\lagarde\Bureau\Error Cleaner.url

C:\Documents and Settings\lagarde\Bureau\Privacy Protector.url

C:\Documents and Settings\lagarde\Bureau\Spyware&Malware Protection.url

C:\Documents and Settings\lagarde\Favoris\Error Cleaner.url

C:\Documents and Settings\lagarde\Favoris\Privacy Protector.url

C:\Documents and Settings\lagarde\Favoris\Spyware&Malware Protection.url

C:\WINDOWS\privacy_danger

C:\WINDOWS\privacy_danger\images\capt.gif

C:\WINDOWS\privacy_danger\images\danger.jpg

C:\WINDOWS\privacy_danger\images\down.gif

C:\WINDOWS\privacy_danger\images\spacer.gif

C:\WINDOWS\privacy_danger\index.htm

C:\WINDOWS\rs.txt

C:\WINDOWS\system32\cjeddnja.ini

C:\WINDOWS\system32\mcrh.tmp

C:\WINDOWS\system32\pWGhjRqr.ini

C:\WINDOWS\system32\pWGhjRqr.ini2

C:\WINDOWS\system32\yqogunvn.ini

 

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-14 to 2008-05-14 ))))))))))))))))))))))))))))))))))))

.

 

2008-05-14 13:48 . 2008-05-14 13:48 <REP> d----c--- C:\Program Files\Trend Micro

2008-05-14 12:39 . 2008-05-14 12:39 90,816 --a--c--- C:\WINDOWS\system32\nvnugoqy.dll

2008-05-14 12:07 . 2008-05-14 14:23 <REP> d----c--- C:\Documents and Settings\lagarde\Application Data\TmpRecentIcons

2008-05-14 00:38 . 2008-05-14 00:38 294 ---hsc--- C:\WINDOWS\system32\cjeddnja.tmp

2008-05-14 00:36 . 2008-05-14 00:36 318,080 --a--c--- C:\WINDOWS\system32\rqRjhGWp.dll

2008-05-14 00:32 . 2008-05-14 00:32 28,800 --a--c--- C:\WINDOWS\system32\fccywVmn.dll

2008-05-14 00:31 . 2008-05-13 18:06 241,664 --a--c--- C:\WINDOWS\fvowketqksn.dll

2008-05-14 00:31 . 2008-05-13 18:06 217,088 --a--c--- C:\WINDOWS\vbksrofa.dll

2008-05-14 00:31 . 2008-05-13 18:06 188,416 --a--c--- C:\WINDOWS\mpfanvqg.dll

2008-05-14 00:31 . 2008-05-13 18:06 155,648 --a--c--- C:\WINDOWS\pvnsmfor.dll

2008-05-14 00:31 . 2008-05-13 18:06 81,920 --a--c--- C:\WINDOWS\oadkxrts.exe

2008-05-14 00:31 . 2008-05-14 00:31 28,800 --a--c--- C:\WINDOWS\system32\rqRjHwVN.dll

2008-05-14 00:30 . 2008-05-14 00:30 <REP> d----c--- C:\Documents and Settings\All Users.WINDOWS\Application Data\Adsl Software Limited

2008-05-09 17:57 . 2008-05-09 17:57 <REP> d----c--- C:\Documents and Settings\All Users.WINDOWS\Application Data\Kaspersky Lab

2008-05-08 18:55 . 2008-05-08 18:55 <REP> d----c--- C:\backups

2008-05-07 20:44 . 2008-05-07 20:44 <REP> d----c--- C:\Documents and Settings\LocalService.AUTORITE NT\Mes documents

2008-04-23 22:15 . 2008-04-23 22:15 268 --ah-c--- C:\sqmdata01.sqm

2008-04-23 22:15 . 2008-04-23 22:15 244 --ah-c--- C:\sqmnoopt01.sqm

2008-04-23 21:51 . 2008-04-23 21:51 268 --ah-c--- C:\sqmdata00.sqm

2008-04-23 21:51 . 2008-04-23 21:51 244 --ah-c--- C:\sqmnoopt00.sqm

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-05-14 13:18 --------- dc----w C:\Program Files\IncrediMail

2008-03-27 16:59 --------- dc----w C:\Program Files\Fichiers communs\Adobe

2008-03-23 11:27 --------- dc----w C:\Documents and Settings\lagarde\Application Data\ItsLabel

2008-03-22 21:19 --------- dc----w C:\Program Files\Fichiers communs\BOONTY Shared

2008-03-22 21:19 --------- dc----w C:\Documents and Settings\All Users.WINDOWS\Application Data\BOONTY

2008-03-22 17:32 --------- dc----w C:\Program Files\FreebieSMS

2008-03-20 08:09 1,845,376 -c--a-w C:\WINDOWS\system32\win32k.sys

2008-02-20 06:51 282,624 -c--a-w C:\WINDOWS\system32\gdi32.dll

2008-02-20 05:35 45,568 -c--a-w C:\WINDOWS\system32\dnsrslvr.dll

2008-02-16 09:02 663,552 -c--a-w C:\WINDOWS\system32\wininet.dll

2007-10-20 07:38 108 -c--a-w C:\Program Files\output54.png

2007-10-20 07:37 2,118 -c--a-w C:\Program Files\photoshop.bmp

2007-10-20 07:33 2,118 -c--a-w C:\Program Files\Sans titre.bmp

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{240A2128-ACD4-4124-87AF-527124CAAC38}]

2008-05-14 00:31 28800 --a--c--- C:\WINDOWS\system32\rqRjHwVN.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{310EB6D1-0D08-4C68-B539-066F77DAB5A3}]

2008-05-14 19:55 318848 --a--c--- C:\WINDOWS\system32\ssqPhhIx.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{583B92BC-C269-42F8-BC1C-DC68697A667B}]

2008-05-14 00:36 318080 --a--c--- C:\WINDOWS\system32\rqRjhGWp.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D2E5FE60-C0CB-4FC5-93D5-9736FA10A01B}]

2008-05-13 18:06 241664 --a--c--- C:\WINDOWS\fvowketqksn.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{EEDEF161-573C-4CC0-83E5-1F4CD35BB459}"= "C:\WINDOWS\pvnsmfor.dll" [2008-05-13 18:06 155648]

 

[HKEY_CLASSES_ROOT\clsid\{eedef161-573c-4cc0-83e5-1f4cd35bb459}]

[HKEY_CLASSES_ROOT\pvnsmfor.1]

[HKEY_CLASSES_ROOT\TypeLib\{DC44D3D7-2664-453B-83B8-44F14C048B7E}]

[HKEY_CLASSES_ROOT\pvnsmfor]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"=":C:\WINDOWS\system32\ctfmon.exe" [ ]

"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]

"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]

"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe" [2005-11-29 19:19 57344]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-16 19:38 68856]

"MalWarrior"="C:\Documents and Settings\All Users.WINDOWS\Application Data\Adsl Software Limited\MalWarrior 2008\Malwarrior.exe" [2008-05-14 00:32 1025536]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]

"LVCOMSX"=":C:\WINDOWS\system32\LVCOMSX.EXE" [ ]

"LogitechVideoRepair"=":C:\Program Files\Logitech\Video\ISStart.exe" [ ]

"LogitechVideoTray"=":C:\Program Files\Logitech\Video\LogiTray.exe" [ ]

"SynTPLpr"=":C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [ ]

"SynTPEnh"=":C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [ ]

"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-27 22:35 262401]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]

"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe" [2005-11-29 19:19 40960]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]

"AtiPTA"="atiptaxx.exe" [2006-02-22 03:05 344064 C:\WINDOWS\system32\atiptaxx.exe]

"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd.exe" [2003-08-04 18:28 49152]

"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 16:18 241664]

"ItsTV"="C:\Program Files\Its Label\ItsTV\ItsTV.exe" [ ]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]

"7c577c65"="C:\WINDOWS\system32\sfqvdcuw.dll" [2008-05-14 19:57 90240]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

"DWQueuedReporting"="c:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 16:38 39264]

 

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]

Source= file:///C:\WINDOWS\privacy_danger\index.htm

FriendlyName= Privacy Protection

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{240A2128-ACD4-4124-87AF-527124CAAC38}"= C:\WINDOWS\system32\rqRjHwVN.dll [2008-05-14 00:31 28800]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"vbksrofa"= {8E6E3CE8-9087-4DF4-BCDF-6C35A963ADAA} - C:\WINDOWS\vbksrofa.dll [2008-05-13 18:06 217088]

"mpfanvqg"= {D24F5D18-D11E-41DD-91B4-25A63CDB9B33} - C:\WINDOWS\mpfanvqg.dll [2008-05-13 18:06 188416]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqRjHwVN]

rqRjHwVN.dll 2008-05-14 00:31 28800 C:\WINDOWS\system32\rqRjHwVN.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.X264"= x264vfw.dll

"VIDC.MJPG"= pvmjpg21.dll

"VIDC.3iv2"= 3ivxVfWCodec.dll

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\ssqPhhIx

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\Messenger\\msmsgs.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"C:\\WINDOWS\\system32\\mshta.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

 

R0 atiide;atiide;C:\WINDOWS\system32\DRIVERS\atiide.sys [2004-06-23 08:04]

R1 atitray;atitray;C:\Program Files\Radeon Omega Drivers\v3.8.291\ATI Tray Tools\atitray.sys [2006-09-27 12:47]

R2 R54G Wireless Service;R54G Wireless Service;C:\Program Files\Wireless 802.11g Monitor\WLService.exe [2004-03-29 16:08]

R3 HSFHWATI;HSFHWATI;C:\WINDOWS\system32\DRIVERS\HSFHWATI.sys [2004-10-06 13:04]

R3 rt2571;Wireless 802.11g USB Adapter Driver;C:\WINDOWS\system32\DRIVERS\rt2571.sys [2004-05-07 13:47]

S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [2008-03-22 23:19]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bfe09f87-c44c-11dc-9c4f-00c09f737e07}]

\Shell\AutoRun\command - E:\LaunchU3.exe -a

 

.

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-14 19:52:30

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

C:\WINDOWS\explorer.exe [272] 0x845D95D0

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

.

--------------------- DLLs a charg‚ sous des processus courants ---------------------

 

PROCESS: C:\WINDOWS\system32\winlogon.exe

-> C:\WINDOWS\system32\rqRjHwVN.dll

 

PROCESS: C:\WINDOWS\explorer.exe

-> C:\WINDOWS\system32\sfqvdcuw.dll

.

------------------------ Other Running Processes ------------------------

.

C:\WINDOWS\system32\ati2evxx.exe

C:\WINDOWS\system32\ati2evxx.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe

C:\Program Files\Wireless 802.11g Monitor\WLanCfgG.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\wscntfy.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-05-14 19:59:05 - machine was rebooted

ComboFix-quarantined-files.txt 2008-05-14 17:58:44

 

Pre-Run: 23,625,101,312 octets libres

Post-Run: 23,580,626,944 octets libres

 

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP ?dition familiale" /noexecute=optin /fastdetect

C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

 

193 --- E O F --- 2008-04-09 20:15:41

 

Rapport Combo n°2:

 

ComboFix 08-05-12.1 - lagarde 2008-05-14 20:07:55.6 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.183 [GMT 2:00]

Endroit: C:\Documents and Settings\lagarde\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\lagarde\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

 

FILE ::

C:\WINDOWS\mpfanvqg.dll

C:\WINDOWS\pvnsmfor.dll

C:\WINDOWS\system32\nvnugoqy.dll

C:\WINDOWS\vbksrofa.dll

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Documents and Settings\All Users.WINDOWS\Application Data\Adsl Software Limited

C:\Documents and Settings\All Users.WINDOWS\Application Data\Adsl Software Limited\MalWarrior 2008\LOG\20080514121047171.log

C:\Documents and Settings\All Users.WINDOWS\Application Data\Adsl Software Limited\MalWarrior 2008\LOG\20080514121903109.log

C:\Documents and Settings\All Users.WINDOWS\Application Data\Adsl Software Limited\MalWarrior 2008\LOG\20080514130903406.log

C:\Documents and Settings\All Users.WINDOWS\Application Data\Adsl Software Limited\MalWarrior 2008\LOG\20080514131513375.log

C:\Documents and Settings\All Users.WINDOWS\Application Data\Adsl Software Limited\MalWarrior 2008\LOG\20080514151048453.log

C:\Documents and Settings\All Users.WINDOWS\Application Data\Adsl Software Limited\MalWarrior 2008\LOG\20080514152650484.log

C:\Documents and Settings\All Users.WINDOWS\Application Data\Adsl Software Limited\MalWarrior 2008\LOG\20080514155509000.log

C:\Documents and Settings\All Users.WINDOWS\Application Data\Adsl Software Limited\MalWarrior 2008\LOG\20080514183227843.log

C:\Documents and Settings\All Users.WINDOWS\Application Data\Adsl Software Limited\MalWarrior 2008\LOG\20080514195206937.log

C:\Documents and Settings\All Users.WINDOWS\Application Data\Adsl Software Limited\MalWarrior 2008\Malwarrior.exe

C:\Program Files\Fichiers communs\BOONTY Shared

C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

C:\WINDOWS\mpfanvqg.dll

C:\WINDOWS\pvnsmfor.dll

C:\WINDOWS\rs.txt

C:\WINDOWS\system32\nvnugoqy.dll

C:\WINDOWS\system32\xIhhPqss.ini

C:\WINDOWS\system32\xIhhPqss.ini2

C:\WINDOWS\vbksrofa.dll

 

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-14 to 2008-05-14 ))))))))))))))))))))))))))))))))))))

.

 

2008-05-14 19:59 . 2008-05-14 19:59 <REP> d----c--- C:\Documents and Settings\Propriétaire

2008-05-14 19:59 . <REP> C:\Documents and Settings\PropriÚtaire\Local Settings

2008-05-14 19:57 . 2008-05-14 19:57 90,240 --a--c--- C:\WINDOWS\system32\sfqvdcuw.dll

2008-05-14 19:57 . 2008-05-14 20:15 414 ---hsc--- C:\WINDOWS\system32\wucdvqfs.ini

2008-05-14 19:55 . 2008-05-14 19:55 318,848 --a--c--- C:\WINDOWS\system32\ssqPhhIx.dll

2008-05-14 13:48 . 2008-05-14 13:48 <REP> d----c--- C:\Program Files\Trend Micro

2008-05-14 12:07 . 2008-05-14 14:23 <REP> d----c--- C:\Documents and Settings\lagarde\Application Data\TmpRecentIcons

2008-05-14 00:38 . 2008-05-14 00:38 294 ---hsc--- C:\WINDOWS\system32\cjeddnja.tmp

2008-05-14 00:36 . 2008-05-14 00:36 318,080 --a--c--- C:\WINDOWS\system32\rqRjhGWp.dll

2008-05-14 00:32 . 2008-05-14 00:32 28,800 --a--c--- C:\WINDOWS\system32\fccywVmn.dll

2008-05-14 00:31 . 2008-05-13 18:06 241,664 --a--c--- C:\WINDOWS\fvowketqksn.dll

2008-05-14 00:31 . 2008-05-13 18:06 81,920 --a--c--- C:\WINDOWS\oadkxrts.exe

2008-05-14 00:31 . 2008-05-14 00:31 28,800 --a--c--- C:\WINDOWS\system32\rqRjHwVN.dll

2008-05-09 17:57 . 2008-05-09 17:57 <REP> d----c--- C:\Documents and Settings\All Users.WINDOWS\Application Data\Kaspersky Lab

2008-05-08 18:55 . 2008-05-08 18:55 <REP> d----c--- C:\backups

2008-05-07 20:44 . 2008-05-07 20:44 <REP> d----c--- C:\Documents and Settings\LocalService.AUTORITE NT\Mes documents

2008-04-23 22:15 . 2008-04-23 22:15 268 --ah-c--- C:\sqmdata01.sqm

2008-04-23 22:15 . 2008-04-23 22:15 244 --ah-c--- C:\sqmnoopt01.sqm

2008-04-23 21:51 . 2008-04-23 21:51 268 --ah-c--- C:\sqmdata00.sqm

2008-04-23 21:51 . 2008-04-23 21:51 244 --ah-c--- C:\sqmnoopt00.sqm

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-05-14 13:18 --------- dc----w C:\Program Files\IncrediMail

2008-03-27 16:59 --------- dc----w C:\Program Files\Fichiers communs\Adobe

2008-03-23 11:27 --------- dc----w C:\Documents and Settings\lagarde\Application Data\ItsLabel

2008-03-22 21:19 --------- dc----w C:\Documents and Settings\All Users.WINDOWS\Application Data\BOONTY

2008-03-22 17:32 --------- dc----w C:\Program Files\FreebieSMS

2008-03-20 08:09 1,845,376 -c--a-w C:\WINDOWS\system32\win32k.sys

2008-02-20 06:51 282,624 -c--a-w C:\WINDOWS\system32\gdi32.dll

2008-02-20 05:35 45,568 -c--a-w C:\WINDOWS\system32\dnsrslvr.dll

2008-02-16 09:02 663,552 -c--a-w C:\WINDOWS\system32\wininet.dll

2007-10-20 07:38 108 -c--a-w C:\Program Files\output54.png

2007-10-20 07:37 2,118 -c--a-w C:\Program Files\photoshop.bmp

2007-10-20 07:33 2,118 -c--a-w C:\Program Files\Sans titre.bmp

.

 

((((((((((((((((((((((((((((( snapshot@2008-05-14_19.57.52.78 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-05-14 17:48:28 2,048 --s-a-w C:\WINDOWS\bootstat.dat

+ 2008-05-14 18:13:16 2,048 --s-a-w C:\WINDOWS\bootstat.dat

+ 2008-05-14 18:13:49 16,384 -c--atw C:\WINDOWS\TEMP\Perflib_Perfdata_4d0.dat

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0BB5EE39-EC36-4CC5-AF46-323ABFB4F146}]

2008-05-14 19:55 318848 --a--c--- C:\WINDOWS\system32\ssqPhhIx.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{240A2128-ACD4-4124-87AF-527124CAAC38}]

2008-05-14 00:31 28800 --a--c--- C:\WINDOWS\system32\rqRjHwVN.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{583B92BC-C269-42F8-BC1C-DC68697A667B}]

2008-05-14 00:36 318080 --a--c--- C:\WINDOWS\system32\rqRjhGWp.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D2E5FE60-C0CB-4FC5-93D5-9736FA10A01B}]

2008-05-13 18:06 241664 --a--c--- C:\WINDOWS\fvowketqksn.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{EEDEF161-573C-4CC0-83E5-1F4CD35BB459}"= "C:\WINDOWS\pvnsmfor.dll" [ ]

 

[HKEY_CLASSES_ROOT\clsid\{eedef161-573c-4cc0-83e5-1f4cd35bb459}]

[HKEY_CLASSES_ROOT\pvnsmfor.1]

[HKEY_CLASSES_ROOT\TypeLib\{DC44D3D7-2664-453B-83B8-44F14C048B7E}]

[HKEY_CLASSES_ROOT\pvnsmfor]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"=":C:\WINDOWS\system32\ctfmon.exe" [ ]

"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]

"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]

"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe" [2005-11-29 19:19 57344]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-16 19:38 68856]

"MalWarrior"="C:\Documents and Settings\All Users.WINDOWS\Application Data\Adsl Software Limited\MalWarrior 2008\Malwarrior.exe" [ ]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]

"LVCOMSX"=":C:\WINDOWS\system32\LVCOMSX.EXE" [ ]

"LogitechVideoRepair"=":C:\Program Files\Logitech\Video\ISStart.exe" [ ]

"LogitechVideoTray"=":C:\Program Files\Logitech\Video\LogiTray.exe" [ ]

"SynTPLpr"=":C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [ ]

"SynTPEnh"=":C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [ ]

"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-27 22:35 262401]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]

"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe" [2005-11-29 19:19 40960]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]

"AtiPTA"="atiptaxx.exe" [2006-02-22 03:05 344064 C:\WINDOWS\system32\atiptaxx.exe]

"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd.exe" [2003-08-04 18:28 49152]

"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 16:18 241664]

"ItsTV"="C:\Program Files\Its Label\ItsTV\ItsTV.exe" [ ]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]

"7c577c65"="C:\WINDOWS\system32\sfqvdcuw.dll" [2008-05-14 19:57 90240]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

"DWQueuedReporting"="c:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 16:38 39264]

 

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]

Source= file:///C:\WINDOWS\privacy_danger\index.htm

FriendlyName= Privacy Protection

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{240A2128-ACD4-4124-87AF-527124CAAC38}"= C:\WINDOWS\system32\rqRjHwVN.dll [2008-05-14 00:31 28800]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"vbksrofa"= {8E6E3CE8-9087-4DF4-BCDF-6C35A963ADAA} - C:\WINDOWS\vbksrofa.dll [ ]

"mpfanvqg"= {D24F5D18-D11E-41DD-91B4-25A63CDB9B33} - C:\WINDOWS\mpfanvqg.dll [ ]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqRjHwVN]

rqRjHwVN.dll 2008-05-14 00:31 28800 C:\WINDOWS\system32\rqRjHwVN.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.X264"= x264vfw.dll

"VIDC.MJPG"= pvmjpg21.dll

"VIDC.3iv2"= 3ivxVfWCodec.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\Messenger\\msmsgs.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"C:\\WINDOWS\\system32\\mshta.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

 

R0 atiide;atiide;C:\WINDOWS\system32\DRIVERS\atiide.sys [2004-06-23 08:04]

R1 atitray;atitray;C:\Program Files\Radeon Omega Drivers\v3.8.291\ATI Tray Tools\atitray.sys [2006-09-27 12:47]

R2 R54G Wireless Service;R54G Wireless Service;C:\Program Files\Wireless 802.11g Monitor\WLService.exe [2004-03-29 16:08]

R3 HSFHWATI;HSFHWATI;C:\WINDOWS\system32\DRIVERS\HSFHWATI.sys [2004-10-06 13:04]

R3 rt2571;Wireless 802.11g USB Adapter Driver;C:\WINDOWS\system32\DRIVERS\rt2571.sys [2004-05-07 13:47]

S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" []

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bfe09f87-c44c-11dc-9c4f-00c09f737e07}]

\Shell\AutoRun\command - E:\LaunchU3.exe -a

 

.

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-14 20:16:12

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

.

--------------------- DLLs a charg‚ sous des processus courants ---------------------

 

PROCESS: C:\WINDOWS\system32\winlogon.exe

-> C:\WINDOWS\system32\rqRjHwVN.dll

.

------------------------ Other Running Processes ------------------------

.

C:\WINDOWS\system32\ati2evxx.exe

C:\WINDOWS\system32\ati2evxx.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe

C:\Program Files\Wireless 802.11g Monitor\WLanCfgG.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-05-14 20:22:25 - machine was rebooted

ComboFix-quarantined-files.txt 2008-05-14 18:22:14

ComboFix2.txt 2008-05-14 17:59:06

 

Pre-Run: 23,558,086,656 octets libres

Post-Run: 23,535,411,200 octets libres

 

193 --- E O F --- 2008-04-09 20:15:41

 

Rapport HJT:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:28:00, on 14/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe

C:\Program Files\Wireless 802.11g Monitor\WLService.exe

C:\Program Files\Wireless 802.11g Monitor\WLanCfgG.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\HP\HP Software Update\HPWuSchd.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=...6Ojg5&lid=2

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: pvnsmfor - {EEDEF161-573C-4CC0-83E5-1F4CD35BB459} - C:\WINDOWS\pvnsmfor.dll (file missing)

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [LVCOMSX] :C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] :C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] :C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [synTPLpr] :C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] :C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [itsTV] "C:\Program Files\Its Label\ItsTV\ItsTV.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [7c577c65] rundll32.exe "C:\WINDOWS\system32\sfqvdcuw.dll",b

O4 - HKCU\..\Run: [CTFMON.EXE] :C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_0 -reboot 1

O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [MalWarrior] "C:\Documents and Settings\All Users.WINDOWS\Application Data\Adsl Software Limited\MalWarrior 2008\Malwarrior.exe" /autorun

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: ~Disabled

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab

O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanced/2.0..._instmodule.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O21 - SSODL: vbksrofa - {8E6E3CE8-9087-4DF4-BCDF-6C35A963ADAA} - C:\WINDOWS\vbksrofa.dll (file missing)

O21 - SSODL: mpfanvqg - {D24F5D18-D11E-41DD-91B4-25A63CDB9B33} - C:\WINDOWS\mpfanvqg.dll (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: R54G Wireless Service - Unknown owner - C:\Program Files\Wireless 802.11g Monitor\WLService.exe

O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

 

--

End of file - 8348 bytes

oGu Godlike Member

oGu

Posté(e)
Posté(e)

Merci pour les rapports, t'as fait ce qu'il fallait!

 

Y'a du mieux, mais c'est normal que tu ais encore des alertes car la désinfection n'est pas terminée. Je reprends ton poste, demain probablement plus que ce soir.

 

Evite au maximum d'utiliser ton PC entre temps.

 

A+!

oGu Godlike Member

oGu

Posté(e)
Posté(e) (modifié)

Salut Jérôme!

 

J'espère que tes examens se sont bien passés;-) !

 

 

Il y a encore beaucoup de malwares, mais on va y arriver!

 

flechedroitets2.png COMBOFIX

 

  • Dans ton menu "Démarrer", clique sur "Exécuter"
  • Une invite s'ouvre: copie ce code en rouge:
    "%userprofile%\Bureau\combofix.exe" /v rqRjHwVN
     
     
  • Colle ce code dans la fenêtre de l'invite et valide par "OK"

 

 

 

flechedroitets2.pngCREATION/EXECUTION D'UN CFSCRIPT

 

Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement.

  • Ouvre un nouveau fichier du Bloc-notes
  • "Copie/Colle" tout le contenu de la boîte Code ci-dessous (mais n'inclus pas le mot "Code") dans le fichier texte du bloc-note :
     
    KillAll::

File::
C:\WINDOWS\system32\sfqvdcuw.dll
C:\WINDOWS\system32\wucdvqfs.ini
C:\WINDOWS\system32\ssqPhhIx.dll
C:\WINDOWS\system32\cjeddnja.tmp
C:\WINDOWS\system32\rqRjhGWp.dll
C:\WINDOWS\system32\fccywVmn.dll
C:\WINDOWS\fvowketqksn.dll
C:\WINDOWS\oadkxrts.exe
C:\WINDOWS\system32\rqRjHwVN.dll

Folder::
C:\Documents and Settings\lagarde\Application Data\TmpRecentIcons
C:\Documents and Settings\All Users.WINDOWS\Application Data\BOONTY

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0BB5EE39-EC36-4CC5-AF46-323ABFB4F146}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{240A2128-ACD4-4124-87AF-527124CAAC38}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{583B92BC-C269-42F8-BC1C-DC68697A667B}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D2E5FE60-C0CB-4FC5-93D5-9736FA10A01B}]


     
     

  • Sauvegarde ce fichier sur ton Bureau en l'appelant IMPERATIVEMENT CFScript.txt
     
    ATTENTION: ce script a été conçu spécifiquement pour le cas de je-rom, ne pas l'utiliser pour votre propre machine sous peine de grave plantage!!

     
  • Désactive ton antivirus et ton antispyware
     
     
  • Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe
    ComboFix sera lancé.
     
    CFScript.gif
     
  • Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
  • Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran.
  • Soumet le fichier en cliquant "OK"
  • Enfin, poste le rapport suivants dans ta prochaine réponse :
     
    - Combofix3 (ou 4).txt (il est stocké ici: > C:\ComboFix.txt. Envoie le plus récent!)

 

 

 

flechedroitets2.pngSUPPRIMER BOONTY GAMES

 

Pour Boonty, j'ai réécris la syntaxe: essaie ceci:

 

  • Dans le menu Démarrer, clique sur "exécuter"
  • Saisis cmd et valide avec "ok"
  • Copie-colle maintenant cette commande dans la fenêtre:
     
    sc delete BOONTY GAMES
  • Valide avec ENTREE
  • Redémarre

 

 

 

flechedroitets2.pngHIJACKTHIS

 

  • Relance HijackThis
  • Sélectionne "Do a scan only"
  • Coche les lignes suivantes si elles apparaissent encore:
     
    O3 - Toolbar: pvnsmfor - {EEDEF161-573C-4CC0-83E5-1F4CD35BB459} - C:\WINDOWS\pvnsmfor.dll (file missing)
     
    O4 - HKLM\..\Run: [7c577c65] rundll32.exe "C:\WINDOWS\system32\sfqvdcuw.dll",b
     
    O4 - HKCU\..\Run: [MalWarrior] "C:\Documents and Settings\All Users.WINDOWS\Application Data\Adsl Software Limited\MalWarrior 2008\Malwarrior.exe" /autorun
     
    O21 - SSODL: vbksrofa - {8E6E3CE8-9087-4DF4-BCDF-6C35A963ADAA} - C:\WINDOWS\vbksrofa.dll (file missing)
     
    O21 - SSODL: mpfanvqg - {D24F5D18-D11E-41DD-91B4-25A63CDB9B33} - C:\WINDOWS\mpfanvqg.dll (file missing)
     
    O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm
     
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=...6Ojg5&lid=2

  • Ferme tes navigateurs
  • Clique en bas sur "Fix checked"
  • Redémarre
  • Poste un nouveau rapport

Modifié par oGu
je-rom Extrem Member

je-rom

Posté(e)
Posté(e)

Salut oGu!

 

Mes examens se sont à peu près bien passés je pense, merci! :P

 

1) Avec Combofix, dans l'invite où je copie/colle: "%userprofile%\Bureau\combofix.exe" /v rqRjHwVN, je reçois toujours la même phrase: le service spùcifiù n'existe pas en tant que service installù. J'ai taper ENTREE et j'ai ensuite fermé l'invite.

 

2) Une fois ComboFix lancé, il demande à redémarrer, au retour il m'affiche qu'il manque un fichier je crois mais je suis pas sur. En tout cas ils disent qu'il manque un truc, j'ai cliqué OK pour les 2 scans Combo et continué la précédure Combo.

 

3) Avec HijackThis, tu me dis de cliqué sur les lignes que tu m'a cité. Je me suis attelé à la tache, ensuite j'ai cliqué sur "Fix checked". J'ai fermé la fenêtre et redémarré. Ais-je oublié une étape tel que femer les naviguateurs par exemple? Je ne comprends pas très bien ce que tu veux dire par là. Ensuite, j'ai redémarrer mon ordinateur.

 

4) En lançant plus tard le Do a scan and save the log file de HJT, j'ai vu qu'il y avait déjà une ligne cité que j'avais coché et Fix checked juste auparavant qui n'avais pas disparu. Enfin tu le verra en lisant le rapport HJT.

 

5) Maintenant j'ai récupéré mon fond d'écran d'origine, mais j'ai tous mes icones qui sont bleu foncé comme si ils étaient tous sélectionnés, puis j'ai toujours comme page de démarrage l'anti-virus UltimateCleaner 2007.

 

6) Je t'envois: - ComboFix n°3 - ComboFix n°4 - HijackThis n°2

 

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

 

- ComboFix n°3

 

ComboFix 08-05-12.1 - lagarde 2008-05-15 18:51:20.7 - NTFSx86

Endroit: C:\Documents and Settings\lagarde\Bureau\combofix.exe

Command switches used :: /v rqRjHwVN

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\rs.txt

C:\WINDOWS\system32\pWGhjRqr.ini

C:\WINDOWS\system32\pWGhjRqr.ini2

C:\WINDOWS\system32\xIhhPqss.ini

C:\WINDOWS\system32\xIhhPqss.ini2

 

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-15 to 2008-05-15 ))))))))))))))))))))))))))))))))))))

.

 

2008-05-14 19:59 . 2008-05-14 19:59 <REP> d----c--- C:\Documents and Settings\Propriétaire

2008-05-14 19:59 . <REP> C:\Documents and Settings\PropriÚtaire\Local Settings

2008-05-14 19:57 . 2008-05-14 19:57 90,240 --a--c--- C:\WINDOWS\system32\sfqvdcuw.dll

2008-05-14 19:57 . 2008-05-15 18:59 654 ---hsc--- C:\WINDOWS\system32\wucdvqfs.ini

2008-05-14 19:55 . 2008-05-14 19:55 318,848 --a--c--- C:\WINDOWS\system32\ssqPhhIx.dll

2008-05-14 13:48 . 2008-05-14 13:48 <REP> d----c--- C:\Program Files\Trend Micro

2008-05-14 12:07 . 2008-05-14 14:23 <REP> d----c--- C:\Documents and Settings\lagarde\Application Data\TmpRecentIcons

2008-05-14 00:38 . 2008-05-14 00:38 294 ---hsc--- C:\WINDOWS\system32\cjeddnja.tmp

2008-05-14 00:36 . 2008-05-14 00:36 318,080 --a--c--- C:\WINDOWS\system32\rqRjhGWp.dll

2008-05-14 00:32 . 2008-05-14 00:32 28,800 --a--c--- C:\WINDOWS\system32\fccywVmn.dll

2008-05-14 00:31 . 2008-05-13 18:06 241,664 --a--c--- C:\WINDOWS\fvowketqksn.dll

2008-05-14 00:31 . 2008-05-13 18:06 81,920 --a--c--- C:\WINDOWS\oadkxrts.exe

2008-05-14 00:31 . 2008-05-14 00:31 28,800 --a--c--- C:\WINDOWS\system32\rqRjHwVN.dll

2008-05-09 17:57 . 2008-05-09 17:57 <REP> d----c--- C:\Documents and Settings\All Users.WINDOWS\Application Data\Kaspersky Lab

2008-05-08 18:55 . 2008-05-08 18:55 <REP> d----c--- C:\backups

2008-05-07 20:44 . 2008-05-07 20:44 <REP> d----c--- C:\Documents and Settings\LocalService.AUTORITE NT\Mes documents

2008-04-23 22:15 . 2008-04-23 22:15 268 --ah-c--- C:\sqmdata01.sqm

2008-04-23 22:15 . 2008-04-23 22:15 244 --ah-c--- C:\sqmnoopt01.sqm

2008-04-23 21:51 . 2008-04-23 21:51 268 --ah-c--- C:\sqmdata00.sqm

2008-04-23 21:51 . 2008-04-23 21:51 244 --ah-c--- C:\sqmnoopt00.sqm

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-05-14 13:18 --------- dc----w C:\Program Files\IncrediMail

2008-03-27 16:59 --------- dc----w C:\Program Files\Fichiers communs\Adobe

2008-03-23 11:27 --------- dc----w C:\Documents and Settings\lagarde\Application Data\ItsLabel

2008-03-22 21:19 --------- dc----w C:\Documents and Settings\All Users.WINDOWS\Application Data\BOONTY

2008-03-22 17:32 --------- dc----w C:\Program Files\FreebieSMS

2007-10-20 07:38 108 -c--a-w C:\Program Files\output54.png

2007-10-20 07:37 2,118 -c--a-w C:\Program Files\photoshop.bmp

2007-10-20 07:33 2,118 -c--a-w C:\Program Files\Sans titre.bmp

.

 

((((((((((((((((((((((((((((( snapshot@2008-05-14_19.57.52.78 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-05-14 17:48:28 2,048 --s-a-w C:\WINDOWS\bootstat.dat

+ 2008-05-15 16:58:27 2,048 --s-a-w C:\WINDOWS\bootstat.dat

+ 2008-05-15 16:59:03 16,384 -c--atw C:\WINDOWS\TEMP\Perflib_Perfdata_634.dat

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{240A2128-ACD4-4124-87AF-527124CAAC38}]

2008-05-14 00:31 28800 --a--c--- C:\WINDOWS\system32\rqRjHwVN.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D118B8F1-1ADC-4232-8F3E-A221F9053EBF}]

2008-05-14 00:36 318080 --a--c--- C:\WINDOWS\system32\rqRjhGWp.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D2E5FE60-C0CB-4FC5-93D5-9736FA10A01B}]

2008-05-13 18:06 241664 --a--c--- C:\WINDOWS\fvowketqksn.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{EEDEF161-573C-4CC0-83E5-1F4CD35BB459}"= "C:\WINDOWS\pvnsmfor.dll" [ ]

 

[HKEY_CLASSES_ROOT\clsid\{eedef161-573c-4cc0-83e5-1f4cd35bb459}]

[HKEY_CLASSES_ROOT\pvnsmfor.1]

[HKEY_CLASSES_ROOT\TypeLib\{DC44D3D7-2664-453B-83B8-44F14C048B7E}]

[HKEY_CLASSES_ROOT\pvnsmfor]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"=":C:\WINDOWS\system32\ctfmon.exe" [ ]

"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]

"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]

"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe" [2005-11-29 19:19 57344]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-16 19:38 68856]

"MalWarrior"="C:\Documents and Settings\All Users.WINDOWS\Application Data\Adsl Software Limited\MalWarrior 2008\Malwarrior.exe" [ ]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]

"LVCOMSX"=":C:\WINDOWS\system32\LVCOMSX.EXE" [ ]

"LogitechVideoRepair"=":C:\Program Files\Logitech\Video\ISStart.exe" [ ]

"LogitechVideoTray"=":C:\Program Files\Logitech\Video\LogiTray.exe" [ ]

"SynTPLpr"=":C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [ ]

"SynTPEnh"=":C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [ ]

"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-27 22:35 262401]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]

"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe" [2005-11-29 19:19 40960]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]

"AtiPTA"="atiptaxx.exe" [2006-02-22 03:05 344064 C:\WINDOWS\system32\atiptaxx.exe]

"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd.exe" [2003-08-04 18:28 49152]

"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 16:18 241664]

"ItsTV"="C:\Program Files\Its Label\ItsTV\ItsTV.exe" [ ]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]

"7c577c65"="C:\WINDOWS\system32\sfqvdcuw.dll" [2008-05-14 19:57 90240]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

"DWQueuedReporting"="c:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 16:38 39264]

 

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]

Source= file:///C:\WINDOWS\privacy_danger\index.htm

FriendlyName= Privacy Protection

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{240A2128-ACD4-4124-87AF-527124CAAC38}"= C:\WINDOWS\system32\rqRjHwVN.dll [2008-05-14 00:31 28800]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"vbksrofa"= {8E6E3CE8-9087-4DF4-BCDF-6C35A963ADAA} - C:\WINDOWS\vbksrofa.dll [ ]

"mpfanvqg"= {D24F5D18-D11E-41DD-91B4-25A63CDB9B33} - C:\WINDOWS\mpfanvqg.dll [ ]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqRjHwVN]

rqRjHwVN.dll 2008-05-14 00:31 28800 C:\WINDOWS\system32\rqRjHwVN.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.X264"= x264vfw.dll

"VIDC.MJPG"= pvmjpg21.dll

"VIDC.3iv2"= 3ivxVfWCodec.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\Messenger\\msmsgs.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"C:\\WINDOWS\\system32\\mshta.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

 

R0 atiide;atiide;C:\WINDOWS\system32\DRIVERS\atiide.sys [2004-06-23 08:04]

R1 atitray;atitray;C:\Program Files\Radeon Omega Drivers\v3.8.291\ATI Tray Tools\atitray.sys [2006-09-27 12:47]

R2 R54G Wireless Service;R54G Wireless Service;C:\Program Files\Wireless 802.11g Monitor\WLService.exe [2004-03-29 16:08]

R3 HSFHWATI;HSFHWATI;C:\WINDOWS\system32\DRIVERS\HSFHWATI.sys [2004-10-06 13:04]

R3 rt2571;Wireless 802.11g USB Adapter Driver;C:\WINDOWS\system32\DRIVERS\rt2571.sys [2004-05-07 13:47]

S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" []

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bfe09f87-c44c-11dc-9c4f-00c09f737e07}]

\Shell\AutoRun\command - E:\LaunchU3.exe -a

 

.

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-15 19:01:19

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

.

--------------------- DLLs a charg‚ sous des processus courants ---------------------

 

PROCESS: C:\WINDOWS\system32\winlogon.exe

-> C:\WINDOWS\system32\rqRjHwVN.dll

.

------------------------ Other Running Processes ------------------------

.

C:\WINDOWS\system32\ati2evxx.exe

C:\WINDOWS\system32\ati2evxx.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe

C:\Program Files\Wireless 802.11g Monitor\WLanCfgG.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-05-15 19:06:38 - machine was rebooted

ComboFix-quarantined-files.txt 2008-05-15 17:06:29

ComboFix2.txt 2008-05-14 18:22:26

ComboFix3.txt 2008-05-14 17:59:06

 

Pre-Run: 23,560,187,904 octets libres

Post-Run: 23,568,908,288 octets libres

 

166 --- E O F --- 2008-04-09 20:15:41

 

 

- ComboFix n°4

 

ComboFix 08-05-12.1 - lagarde 2008-05-15 19:11:32.8 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.195 [GMT 2:00]

Endroit: C:\Documents and Settings\lagarde\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\lagarde\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

 

FILE ::

C:\WINDOWS\fvowketqksn.dll

C:\WINDOWS\oadkxrts.exe

C:\WINDOWS\system32\cjeddnja.tmp

C:\WINDOWS\system32\fccywVmn.dll

C:\WINDOWS\system32\rqRjhGWp.dll

C:\WINDOWS\system32\rqRjHwVN.dll

C:\WINDOWS\system32\sfqvdcuw.dll

C:\WINDOWS\system32\ssqPhhIx.dll

C:\WINDOWS\system32\wucdvqfs.ini

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Documents and Settings\All Users.WINDOWS\Application Data\BOONTY

C:\Documents and Settings\All Users.WINDOWS\Application Data\BOONTY\Licenses\B43C7000.dat

C:\Documents and Settings\lagarde\Application Data\TmpRecentIcons

C:\Documents and Settings\lagarde\Application Data\TmpRecentIcons\HijackThis.lnk

C:\Documents and Settings\lagarde\Application Data\TmpRecentIcons\Poste de travail.lnk

C:\Documents and Settings\lagarde\Application Data\TmpRecentIcons\XRelais.lnk

C:\WINDOWS\fvowketqksn.dll

C:\WINDOWS\oadkxrts.exe

C:\WINDOWS\rs.txt

C:\WINDOWS\system32\cjeddnja.tmp

C:\WINDOWS\system32\fccywVmn.dll

C:\WINDOWS\system32\rqRjhGWp.dll

C:\WINDOWS\system32\rqRjHwVN.dll

C:\WINDOWS\system32\sfqvdcuw.dll

C:\WINDOWS\system32\ssqPhhIx.dll

C:\WINDOWS\system32\wucdvqfs.ini

 

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-15 to 2008-05-15 ))))))))))))))))))))))))))))))))))))

.

 

2008-05-14 19:59 . 2008-05-14 19:59 <REP> d----c--- C:\Documents and Settings\Propriétaire

2008-05-14 19:59 . <REP> C:\Documents and Settings\PropriÚtaire\Local Settings

2008-05-14 13:48 . 2008-05-14 13:48 <REP> d----c--- C:\Program Files\Trend Micro

2008-05-09 17:57 . 2008-05-09 17:57 <REP> d----c--- C:\Documents and Settings\All Users.WINDOWS\Application Data\Kaspersky Lab

2008-05-08 18:55 . 2008-05-08 18:55 <REP> d----c--- C:\backups

2008-05-07 20:44 . 2008-05-07 20:44 <REP> d----c--- C:\Documents and Settings\LocalService.AUTORITE NT\Mes documents

2008-04-23 22:15 . 2008-04-23 22:15 268 --ah-c--- C:\sqmdata01.sqm

2008-04-23 22:15 . 2008-04-23 22:15 244 --ah-c--- C:\sqmnoopt01.sqm

2008-04-23 21:51 . 2008-04-23 21:51 268 --ah-c--- C:\sqmdata00.sqm

2008-04-23 21:51 . 2008-04-23 21:51 244 --ah-c--- C:\sqmnoopt00.sqm

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-05-14 13:18 --------- dc----w C:\Program Files\IncrediMail

2008-03-27 16:59 --------- dc----w C:\Program Files\Fichiers communs\Adobe

2008-03-23 11:27 --------- dc----w C:\Documents and Settings\lagarde\Application Data\ItsLabel

2008-03-22 17:32 --------- dc----w C:\Program Files\FreebieSMS

2007-10-20 07:38 108 -c--a-w C:\Program Files\output54.png

2007-10-20 07:37 2,118 -c--a-w C:\Program Files\photoshop.bmp

2007-10-20 07:33 2,118 -c--a-w C:\Program Files\Sans titre.bmp

.

 

((((((((((((((((((((((((((((( snapshot@2008-05-14_19.57.52.78 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-05-14 17:48:28 2,048 --s-a-w C:\WINDOWS\bootstat.dat

+ 2008-05-15 17:16:12 2,048 --s-a-w C:\WINDOWS\bootstat.dat

+ 2008-05-15 17:16:56 16,384 -c--atw C:\WINDOWS\TEMP\Perflib_Perfdata_6fc.dat

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{EEDEF161-573C-4CC0-83E5-1F4CD35BB459}"= "C:\WINDOWS\pvnsmfor.dll" [ ]

 

[HKEY_CLASSES_ROOT\clsid\{eedef161-573c-4cc0-83e5-1f4cd35bb459}]

[HKEY_CLASSES_ROOT\pvnsmfor.1]

[HKEY_CLASSES_ROOT\TypeLib\{DC44D3D7-2664-453B-83B8-44F14C048B7E}]

[HKEY_CLASSES_ROOT\pvnsmfor]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"=":C:\WINDOWS\system32\ctfmon.exe" [ ]

"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]

"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]

"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe" [2005-11-29 19:19 57344]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-16 19:38 68856]

"MalWarrior"="C:\Documents and Settings\All Users.WINDOWS\Application Data\Adsl Software Limited\MalWarrior 2008\Malwarrior.exe" [ ]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]

"LVCOMSX"=":C:\WINDOWS\system32\LVCOMSX.EXE" [ ]

"LogitechVideoRepair"=":C:\Program Files\Logitech\Video\ISStart.exe" [ ]

"LogitechVideoTray"=":C:\Program Files\Logitech\Video\LogiTray.exe" [ ]

"SynTPLpr"=":C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [ ]

"SynTPEnh"=":C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [ ]

"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-27 22:35 262401]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]

"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe" [2005-11-29 19:19 40960]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]

"AtiPTA"="atiptaxx.exe" [2006-02-22 03:05 344064 C:\WINDOWS\system32\atiptaxx.exe]

"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd.exe" [2003-08-04 18:28 49152]

"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 16:18 241664]

"ItsTV"="C:\Program Files\Its Label\ItsTV\ItsTV.exe" [ ]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]

"7c577c65"="C:\WINDOWS\system32\sfqvdcuw.dll" [ ]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

"DWQueuedReporting"="c:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 16:38 39264]

 

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]

Source= file:///C:\WINDOWS\privacy_danger\index.htm

FriendlyName= Privacy Protection

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"vbksrofa"= {8E6E3CE8-9087-4DF4-BCDF-6C35A963ADAA} - C:\WINDOWS\vbksrofa.dll [ ]

"mpfanvqg"= {D24F5D18-D11E-41DD-91B4-25A63CDB9B33} - C:\WINDOWS\mpfanvqg.dll [ ]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqRjHwVN]

rqRjHwVN.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.X264"= x264vfw.dll

"VIDC.MJPG"= pvmjpg21.dll

"VIDC.3iv2"= 3ivxVfWCodec.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\Messenger\\msmsgs.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"C:\\WINDOWS\\system32\\mshta.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

 

R0 atiide;atiide;C:\WINDOWS\system32\DRIVERS\atiide.sys [2004-06-23 08:04]

R1 atitray;atitray;C:\Program Files\Radeon Omega Drivers\v3.8.291\ATI Tray Tools\atitray.sys [2006-09-27 12:47]

R2 R54G Wireless Service;R54G Wireless Service;C:\Program Files\Wireless 802.11g Monitor\WLService.exe [2004-03-29 16:08]

R3 HSFHWATI;HSFHWATI;C:\WINDOWS\system32\DRIVERS\HSFHWATI.sys [2004-10-06 13:04]

R3 rt2571;Wireless 802.11g USB Adapter Driver;C:\WINDOWS\system32\DRIVERS\rt2571.sys [2004-05-07 13:47]

S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" []

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bfe09f87-c44c-11dc-9c4f-00c09f737e07}]

\Shell\AutoRun\command - E:\LaunchU3.exe -a

 

*Newly Created Service* - GTNDIS5

.

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-15 19:26:26

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\WINDOWS\system32\ati2evxx.exe

C:\WINDOWS\system32\ati2evxx.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe

C:\Program Files\Wireless 802.11g Monitor\WLanCfgG.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\WINDOWS\system32\wdfmgr.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-05-15 19:30:49 - machine was rebooted

ComboFix-quarantined-files.txt 2008-05-15 17:30:40

ComboFix2.txt 2008-05-15 17:06:40

ComboFix3.txt 2008-05-14 18:22:26

ComboFix4.txt 2008-05-14 17:59:06

 

Pre-Run: 23,531,122,688 octets libres

Post-Run: 23,532,105,728 octets libres

 

167 --- E O F --- 2008-04-09 20:15:41

 

 

- HijackThis n°2

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:28:00, on 14/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe

C:\Program Files\Wireless 802.11g Monitor\WLService.exe

C:\Program Files\Wireless 802.11g Monitor\WLanCfgG.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\HP\HP Software Update\HPWuSchd.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=...6Ojg5&lid=2

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: pvnsmfor - {EEDEF161-573C-4CC0-83E5-1F4CD35BB459} - C:\WINDOWS\pvnsmfor.dll (file missing)

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [LVCOMSX] :C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] :C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] :C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [synTPLpr] :C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] :C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [itsTV] "C:\Program Files\Its Label\ItsTV\ItsTV.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [7c577c65] rundll32.exe "C:\WINDOWS\system32\sfqvdcuw.dll",b

O4 - HKCU\..\Run: [CTFMON.EXE] :C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_0 -reboot 1

O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [MalWarrior] "C:\Documents and Settings\All Users.WINDOWS\Application Data\Adsl Software Limited\MalWarrior 2008\Malwarrior.exe" /autorun

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: ~Disabled

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab

O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanced/2.0..._instmodule.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O21 - SSODL: vbksrofa - {8E6E3CE8-9087-4DF4-BCDF-6C35A963ADAA} - C:\WINDOWS\vbksrofa.dll (file missing)

O21 - SSODL: mpfanvqg - {D24F5D18-D11E-41DD-91B4-25A63CDB9B33} - C:\WINDOWS\mpfanvqg.dll (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: R54G Wireless Service - Unknown owner - C:\Program Files\Wireless 802.11g Monitor\WLService.exe

O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

 

--

End of file - 8348 bytes

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...