Infection BDC/Momibot.89088.B

[Fullzx14r]

Bonsoir Gof.

 

J'ai fait deux posts pour répondre à tes demandes. Quelle est la suite après le rapport gmer ? Y vois tu quelque chose de bizarre. J'ai un doute si j'ai bien fait ta procédure. Le rapport m semble bien court

 

Bruno

[Fullzx14r]

Bonjour Gof

Je rentre du WE et je constate que tu es toujours occupé ailleurs.

Quand tu auras un moment jette n coup d'oeil aux réponses que j'ai pu donner et fait moi part de tes commentaires.

Bon courage pour le reste

 

Bruno

[Gof]

Bonsoir Fullzx14r

 

Les soucis rapportés il y a quelques posts sont toujours présents ?

 

Cela me semble bizarre pour un truc qui a tourné 1h et demi qu'il n'y ai que ça dans le rapport mais c'est ainsi

Quelles étaient les options de sélectionnées et de non sélectionnées avant le lancement de l'analyse ? Les lecteurs étaient-ils cochés (juste en dessous de Files)?

[Fullzx14r]

Non ils n'étaient pas cochés

[Gof]

Bonjour

 

Bon, essaie de renouveler un rapport GMER, même consignes que précédemment, les options ainsi cochées :

 

[Fullzx14r]

Bonjour Gof

 

J'ai relancé un rapport Gmer hier soir. Le voila. Est ce que cela te parle un peu mieuxque le précédent ?

Il semble cette fois indiquer plus de choses.

Merci pour tes conseils

 

Fullzx14r

 

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-05-11 07:30:42

Windows 5.1.2600 Service Pack 3

Running: fz8hn8o9.exe; Driver: C:\DOCUME~1\QUESNE~1\LOCALS~1\Temp\fxrdypob.sys

 

 

---- System - GMER 1.0.15 ----

 

SSDT BA79619E ZwCreateKey

SSDT BA796194 ZwCreateThread

SSDT BA7961A3 ZwDeleteKey

SSDT BA7961AD ZwDeleteValueKey

SSDT BA7961B2 ZwLoadKey

SSDT BA796180 ZwOpenProcess

SSDT BA796185 ZwOpenThread

SSDT BA7961BC ZwReplaceKey

SSDT BA7961B7 ZwRestoreKey

SSDT BA7961A8 ZwSetValueKey

SSDT BA79618F ZwTerminateProcess

 

---- Kernel code sections - GMER 1.0.15 ----

 

.rsrc C:\WINDOWS\system32\drivers\disk.sys entry point in ".rsrc" section [0xBA100514]

.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB8734000, 0x19DA46, 0xE8000020]

 

---- User code sections - GMER 1.0.15 ----

 

? C:\Program Files\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe[140] C:\WINDOWS\system32\WININET.dll IMAGE_DOS_SIGNATURE not found;

.text C:\WINDOWS\Explorer.EXE[156] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00B6000A

.text C:\WINDOWS\Explorer.EXE[156] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 00C0000A

.text C:\WINDOWS\Explorer.EXE[156] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 00B5000C

.text C:\WINDOWS\System32\svchost.exe[452] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 0099000A

.text C:\WINDOWS\System32\svchost.exe[452] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 009A000A

.text C:\WINDOWS\System32\svchost.exe[452] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 0098000C

.text C:\WINDOWS\System32\svchost.exe[452] USER32.dll!GetCursorPos 7E3A974E 5 Bytes JMP 01A4000A

.text C:\WINDOWS\System32\svchost.exe[452] ole32.dll!CoCreateInstance 774C057E 5 Bytes JMP 0103000A

.text C:\Program Files\Microsoft Office\Office14\WINWORD.EXE[1424] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 5 Bytes JMP 39007ED6 C:\Program Files\Fichiers communs\Microsoft Shared\office14\mso.dll (Microsoft Office 2010 component/Microsoft Corporation)

.text C:\WINDOWS\system32\SearchIndexer.exe[2936] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)

 

---- Files - GMER 1.0.15 ----

 

File C:\WINDOWS\system32\drivers\disk.sys suspicious modification

 

---- EOF - GMER 1.0.15 ----

[Fullzx14r]

Information complémentaire pour GOF

 

Si je ne pouvais me connecter par le browser à winupdate, les tééchargements automatiques fonctionnaient. Windows télécharger un outil de surveillanc des logiciels malveillants verion mai 2010. Celui-ci s'est exécuté et a trouver des fichiers à réparer. Un analysecomplete a trouvé un virus. Désolé je ne sait pas son nom. Il a été éliminé.

 

Maintenant un accès par le browser à winupdate est possible.

 

Je constate aussi qu'il est possible de faire une analyse de log hijackthis ou de le poster ce qui était impossible avant puisque je me retrouvais systématiquement sur une page bloquée.

 

Il y a donc eu un progrès même si tout n'est peut-être pas soldé.

 

As tu besoin d'un examen complémentaire pour revoir l'état des lieux du PC

[Fullzx14r]

Bonjour après un contrôle du PC par l'outil windows de surveillance de logiciel malveillant j'ai constaté qu'il y avait eu des choses de détectée et des actions faites par l'outil.

Ne sachant pas s'il reste des traces de cette attaque, je fais appel aux spécialistes pour une aide.

 

Merci d'avance pour votre support

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:12:52, on 13/05/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe

C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe

C:\Program Files\Seagate\SeagateManager\Sync\FreeAgentService.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Program Files\Serveur Media\twonkymediaserverwatchdog.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

C:\Program Files\Serveur Media\bgtrans.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\Program Files\Serveur Media\TwonkyMediaServer.exe

C:\Program Files\Serveur Media\rmm.exe

C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir Desktop\avmailc.exe

C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\DivX\DivX Update\DivXUpdate.exe

C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Serveur Media\twonkymediaserverconfig.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe

C:\Program Files\Spamihilator\spamihilator.exe

C:\Program Files\APC\APC PowerChute Personal Edition\apcsystray.exe

C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe

C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\Microsoft Office\Office14\OUTLOOK.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\SearchProtocolHost.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\Connexion Internet Orange\SearchURLHook\SearchPageURL.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL

O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Logitech\Video\InstallHelper.exe /inspect

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [MaxMenuMgr] "C:\Program Files\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW

O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Logitech . Enregistrement du produit.lnk = C:\Program Files\Logitech\Logitech WebCam Software\eReg.exe

O4 - Startup: Spamihilator.lnk = C:\Program Files\Spamihilator\spamihilator.exe

O4 - Global Startup: Agent Serveur Média.lnk = C:\Program Files\Serveur Media\twonkymediaserverconfig.exe

O4 - Global Startup: APC UPS Status.lnk = ?

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: PHOTOfunSTUDIO -viewer-.lnk = C:\Program Files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe

O8 - Extra context menu item: &Envoyer à OneNote - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE.dll/105

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000

O8 - Extra context menu item: Liens de téléchargement avec Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra button: Notes &liées OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra 'Tools' menuitem: Notes &liées OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0067DBFC-A752-458C-AE6E-B9C7E63D4824} (Détection de dispositifs) - http://www.logitech.com/devicedetector/plu...Detection32.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1271271993062

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: bw+0 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw+0s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw-0 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw-0s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw00 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw00s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw10 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw10s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw20 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw20s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw30 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw30s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw40 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw40s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw50 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw50s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw60 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw60s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw70 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw70s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw80 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw80s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw90 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw90s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwa0 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwa0s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwb0 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwb0s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwc0 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwc0s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwd0 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwd0s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwe0 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwe0s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwf0 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwf0s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O18 - Protocol: bwg0 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwg0s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwh0 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwh0s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwi0 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwi0s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwj0 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwj0s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwk0 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwk0s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwl0 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwl0s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwm0 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwm0s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwn0 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwn0s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwo0 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwo0s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwp0 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwp0s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwq0 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwq0s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwr0 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwr0s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bws0 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bws0s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwt0 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwt0s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwu0 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwu0s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwv0 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwv0s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bww0 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bww0s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwx0 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwx0s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwy0 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwy0s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwz0 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwz0s - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: offline-8876480 - {8E4E33BE-636E-44FC-A78C-A3A83B6AE8AB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE14\MSOXMLMF.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE

O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe

O23 - Service: Seagate Service (FreeAgentGoNext Service) - Seagate Technology LLC - C:\Program Files\Seagate\SeagateManager\Sync\FreeAgentService.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTServ.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Serveur Média - Unknown owner - C:\Program Files\Serveur Media\twonkymediaserverwatchdog.exe

O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe

O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

 

--

End of file - 24274 bytes

[Pinic]

Bonjour,

Dans un premier temps le plus simple serait de scanner de nouveau ton PC avec CCleaner et/ou Malwarebyte. s'ils ne trouvent rien, ton pc sera probablement propre. Que disent

Tune Up et ton antivirus ?

[Fullzx14r]

L'antivirus c'est OK RAS

Tune up RAS

Ccleaner RAS

Malwarebyte signale un logiciel concurrent comme infection. je ne sais pas ce que tu en penses. voir ci dessous

Je m'étonne de voir autant de 018 dans le log hijackthis avec logitech desktop messenger ?

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 4058

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

13/05/2010 10:40:09

mbam-log-2010-05-13 (10-40-09).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 123926

Temps écoulé: 4 minute(s), 39 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\RnSafe (Rogue.SpywareCleaner2009) -> No action taken.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)