Infection // rapport d'analyse

[alec]

Bonjour

 

Bon, j'ai choppé mon ptit virus / spyware annuel ^^

 

alors en gros, pop de partout, page d'accueil = proposition d'un logiciel pour desinfecter ( pub bidon quoi ) wallpaper changé en gros " warning ton pc va mourir achete vite notre anti virus a 10000 $ ", impossible de changer le wall....

 

 

voici 2 rapport, un de ad-ware SE et l'autre de Hijack, que faut il supprimer ?

 

 

Avec Hjack

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\UStorSrv.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

C:\WINDOWS\vsnpstd.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Winamp\winamp.exe

C:\Documents and Settings\flo\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [steam] "e:\jeux\half life\steam\steam.exe" -silent

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - HKCU\..\Run: [services32] C:\Program Files\Fichiers communs\Windows\mc-110-12-0000228.exe

O4 - HKCU\..\Run: [Tenp] "C:\Program Files\dcrb\sere.exe" -vt yazr

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Search - http://kx.bar.need2find.com/KX/menusearch.html?p=KX

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C75AC0ED-79B7-45A1-930C-54D03F2DE3D3}: NameServer = 80.10.246.130 80.10.246.3

O20 - Winlogon Notify: Explorer - C:\WINDOWS\system32\ijput.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

 

__________________________________________________________________________________________________

Ad-ware SE

 

 

Ad-Aware SE Build 1.05

Logfile Created on:dimanche 22 janvier 2006 07:38:40

Created with Ad-Aware SE Personal, free for private use.

Using definitions file:SE1R88 20.01.2006

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

References detected during the scan:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Adware.Director(TAC index:3):5 total references

Adware.Freeprod Toolbar(TAC index:3):50 total references

CmdServices(TAC index:4):24 total references

MRU List(TAC index:0):32 total references

Other(TAC index:5):1 total references

Possible Browser Hijack attempt(TAC index:3):5 total references

Targetsavers(TAC index::5 total references

Tracking Cookie(TAC index:3):12 total references

Windows(TAC index:3):1 total references

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Ad-Aware SE Settings

===========================

Set : Search for negligible risk entries

Set : Safe mode (always request confirmation)

Set : Scan active processes

Set : Scan registry

Set : Deep-scan registry

Set : Scan my IE Favorites for banned URLs

Set : Scan my Hosts file

 

 

22-01-2006 07:38:40 - Scan started. (Smart mode)

 

Listing running processes

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

#:1 [smss.exe]

FilePath : \SystemRoot\System32\

ProcessID : 428

ThreadCreationTime : 22-01-2006 06:40:27

BasePriority : Normal

 

 

#:2 [winlogon.exe]

FilePath : \??\C:\WINDOWS\system32\

ProcessID : 972

ThreadCreationTime : 22-01-2006 06:40:36

BasePriority : High

 

 

#:3 [services.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 1016

ThreadCreationTime : 22-01-2006 06:40:37

BasePriority : Normal

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Système d'exploitation Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Applications Services et Contrôleur

InternalName : services.exe

LegalCopyright : © Microsoft Corporation. Tous droits réservés.

OriginalFilename : services.exe

 

#:4 [lsass.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 1028

ThreadCreationTime : 22-01-2006 06:40:37

BasePriority : Normal

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : LSA Shell (Export Version)

InternalName : lsass.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : lsass.exe

 

#:5 [ati2evxx.exe]

FilePath : C:\WINDOWS\System32\

ProcessID : 1172

ThreadCreationTime : 22-01-2006 06:40:37

BasePriority : Normal

 

 

#:6 [svchost.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 1216

ThreadCreationTime : 22-01-2006 06:40:37

BasePriority : Normal

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe

 

#:7 [svchost.exe]

FilePath : C:\WINDOWS\System32\

ProcessID : 1240

ThreadCreationTime : 22-01-2006 06:40:37

BasePriority : Normal

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe

 

#:8 [spoolsv.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 1604

ThreadCreationTime : 22-01-2006 06:40:38

BasePriority : Normal

FileVersion : 5.1.2600.0 (XPClient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Spooler SubSystem App

InternalName : spoolsv.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : spoolsv.exe

 

#:9 [ewidoctrl.exe]

FilePath : C:\Program Files\ewido anti-malware\

ProcessID : 1736

ThreadCreationTime : 22-01-2006 06:40:40

BasePriority : Normal

FileVersion : 3, 0, 0, 1

ProductVersion : 3, 0, 0, 1

ProductName : ewido control

CompanyName : ewido networks

FileDescription : ewido control

InternalName : ewido control

LegalCopyright : Copyright © 2004

OriginalFilename : ewidoctrl.exe

 

#:10 [ewidoguard.exe]

FilePath : C:\Program Files\ewido anti-malware\

ProcessID : 1768

ThreadCreationTime : 22-01-2006 06:40:41

BasePriority : Normal

FileVersion : 3, 0, 0, 1

ProductVersion : 3, 0, 0, 1

ProductName : guard

CompanyName : ewido networks

FileDescription : guard

InternalName : guard

LegalCopyright : Copyright © 2004

OriginalFilename : guard.exe

 

#:11 [rundll32.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 1824

ThreadCreationTime : 22-01-2006 06:40:42

BasePriority : Normal

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Système d'exploitation Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Exécuter une DLL en tant qu'application

InternalName : rundll

LegalCopyright : © Microsoft Corporation. Tous droits réservés.

OriginalFilename : RUNDLL.EXE

 

#:12 [starwindservice.exe]

FilePath : C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\

ProcessID : 2020

ThreadCreationTime : 22-01-2006 06:40:44

BasePriority : Normal

FileVersion : 2.6.1 Build 0x20050401

ProductVersion : 2.6.1 Build 0x20050401

ProductName : StarWind

CompanyName : Rocket Division Software

FileDescription : StarWind iSCSI Target (Alcohol Edition)

InternalName : StarWind

LegalCopyright : Copyright © Rocket Division Software 2003-2005. All rights reserved.

OriginalFilename : StarWind

 

#:13 [svchost.exe]

FilePath : C:\WINDOWS\System32\

ProcessID : 2036

ThreadCreationTime : 22-01-2006 06:40:44

BasePriority : Normal

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe

 

#:14 [ati2evxx.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 468

ThreadCreationTime : 22-01-2006 06:40:47

BasePriority : Normal

 

 

#:15 [ustorsrv.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 496

ThreadCreationTime : 22-01-2006 06:40:47

BasePriority : Normal

FileVersion : 1, 1, 1, 5

ProductVersion : 1, 1, 1, 5

ProductName : OTi Content Service

CompanyName : OTi

FileDescription : OTi Content Service

InternalName : UniCntSrvSvc

LegalCopyright : Copyright © 2004

OriginalFilename : UniCntSrvSvc.EXE

Comments : Build on 6/10/2003

 

#:16 [explorer.exe]

FilePath : C:\WINDOWS\

ProcessID : 572

ThreadCreationTime : 22-01-2006 06:40:49

BasePriority : Normal

FileVersion : 6.00.2600.0000 (xpclient.010817-1148)

ProductVersion : 6.00.2600.0000

ProductName : Système d'exploitation Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Explorateur Windows

InternalName : explorer

LegalCopyright : © Microsoft Corporation. Tous droits réservés.

OriginalFilename : EXPLORER.EXE

 

#:17 [ctfmon.exe]

FilePath : C:\WINDOWS\System32\

ProcessID : 1432

ThreadCreationTime : 22-01-2006 06:41:15

BasePriority : Normal

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : CTF Loader

InternalName : CTFMON

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : CTFMON.EXE

 

#:18 [dragdiag.exe]

FilePath : C:\Program Files\Thomson\SpeedTouch USB\

ProcessID : 1368

ThreadCreationTime : 22-01-2006 06:41:21

BasePriority : Normal

FileVersion : 301.0.0.12

ProductVersion : 301.0.0.12

ProductName : SpeedTouch USB

CompanyName : THOMSON Telecom Belgium

FileDescription : SpeedTouch Statistics

LegalCopyright : Copyright© THOMSON Telecom Belgium 1999-2004

LegalTrademarks : SpeedTouch

 

#:19 [nvmixertray.exe]

FilePath : C:\Program Files\NVIDIA Corporation\NvMixer\

ProcessID : 1656

ThreadCreationTime : 22-01-2006 06:41:21

BasePriority : Normal

 

 

#:20 [atiptaxx.exe]

FilePath : C:\Program Files\ATI Technologies\ATI Control Panel\

ProcessID : 1796

ThreadCreationTime : 22-01-2006 06:41:22

BasePriority : Normal

FileVersion : 6.14.10.5120

ProductVersion : 6.14.10.5120

ProductName : ATI Desktop Component

CompanyName : ATI Technologies, Inc.

FileDescription : ATI Desktop Control Panel

InternalName : Atiptaxx.exe

LegalCopyright : Copyright © 1998-2004 ATI Technologies Inc.

OriginalFilename : Atiptaxx.exe

 

#:21 [hpztsb04.exe]

FilePath : C:\WINDOWS\System32\spool\drivers\w32x86\3\

ProcessID : 1808

ThreadCreationTime : 22-01-2006 06:41:22

BasePriority : Normal

FileVersion : 2,80,0,0

ProductVersion : 2,80,0,0

ProductName : HP DeskJet

CompanyName : HP

LegalCopyright : Copyright © Hewlett-Packard Company 1999-2001

 

#:22 [daemon.exe]

FilePath : C:\Program Files\D-Tools\

ProcessID : 1980

ThreadCreationTime : 22-01-2006 06:41:23

BasePriority : Normal

 

 

#:23 [vsnpstd.exe]

FilePath : C:\WINDOWS\

ProcessID : 1760

ThreadCreationTime : 22-01-2006 06:41:24

BasePriority : Normal

FileVersion : 1, 0, 0, 4

ProductVersion : 1, 0, 0, 4

ProductName : CameraMonitor Application

FileDescription : CameraMonitor MFC Application

InternalName : CameraMonitor

LegalCopyright : Copyright © 2003

OriginalFilename : CameraMonitor.EXE

 

#:24 [winampa.exe]

FilePath : C:\Program Files\Winamp\

ProcessID : 2016

ThreadCreationTime : 22-01-2006 06:41:24

BasePriority : Normal

 

 

#:25 [skype.exe]

FilePath : C:\Program Files\Skype\Phone\

ProcessID : 1496

ThreadCreationTime : 22-01-2006 06:42:04

BasePriority : Normal

 

 

#:26 [ad-aware.exe]

FilePath : C:\Program Files\Lavasoft\Ad-Aware SE Personal\

ProcessID : 3352

ThreadCreationTime : 22-01-2006 06:45:22

BasePriority : Normal

FileVersion : 6.2.0.206

ProductVersion : VI.Second Edition

ProductName : Lavasoft Ad-Aware SE

CompanyName : Lavasoft Sweden

FileDescription : Ad-Aware SE Core application

InternalName : Ad-Aware.exe

LegalCopyright : Copyright © Lavasoft Sweden

OriginalFilename : Ad-Aware.exe

Comments : All Rights Reserved

 

Memory scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 0

 

 

Started registry scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Adware.Freeprod Toolbar Object Recognized!

Type : Regkey

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_CLASSES_ROOT

Object : clsid\{2296428d-c133-4928-b76a-a200ff409572}

 

Adware.Freeprod Toolbar Object Recognized!

Type : RegValue

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_CLASSES_ROOT

Object : clsid\{2296428d-c133-4928-b76a-a200ff409572}

Value :

 

Adware.Freeprod Toolbar Object Recognized!

Type : Regkey

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_CLASSES_ROOT

Object : clsid\{77fbf9b8-1d37-4ff2-9ced-192d8e3aba6f}

 

Adware.Freeprod Toolbar Object Recognized!

Type : RegValue

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_CLASSES_ROOT

Object : clsid\{77fbf9b8-1d37-4ff2-9ced-192d8e3aba6f}

Value :

 

Adware.Freeprod Toolbar Object Recognized!

Type : Regkey

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_CLASSES_ROOT

Object : toolband.xbtp07618

 

Adware.Freeprod Toolbar Object Recognized!

Type : RegValue

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_CLASSES_ROOT

Object : toolband.xbtp07618

Value :

 

Adware.Freeprod Toolbar Object Recognized!

Type : Regkey

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_CLASSES_ROOT

Object : toolband.xbtp07618.1

 

Adware.Freeprod Toolbar Object Recognized!

Type : RegValue

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_CLASSES_ROOT

Object : toolband.xbtp07618.1

Value :

 

Adware.Freeprod Toolbar Object Recognized!

Type : Regkey

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_CLASSES_ROOT

Object : typelib\{5279231e-fabe-4abf-83a8-7c7e17e3ce1a}

 

Adware.Freeprod Toolbar Object Recognized!

Type : Regkey

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_CLASSES_ROOT

Object : xbtb07618.ietoolbar

 

Adware.Freeprod Toolbar Object Recognized!

Type : RegValue

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_CLASSES_ROOT

Object : xbtb07618.ietoolbar

Value :

 

Adware.Freeprod Toolbar Object Recognized!

Type : Regkey

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_CLASSES_ROOT

Object : xbtb07618.ietoolbar.1

 

Adware.Freeprod Toolbar Object Recognized!

Type : RegValue

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_CLASSES_ROOT

Object : xbtb07618.ietoolbar.1

Value :

 

Adware.Freeprod Toolbar Object Recognized!

Type : Regkey

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_CLASSES_ROOT

Object : xbtb07618.xbtb07618

 

Adware.Freeprod Toolbar Object Recognized!

Type : RegValue

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_CLASSES_ROOT

Object : xbtb07618.xbtb07618

Value :

 

Adware.Freeprod Toolbar Object Recognized!

Type : Regkey

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_CLASSES_ROOT

Object : xbtb07618.xbtb07618.1

 

Adware.Freeprod Toolbar Object Recognized!

Type : RegValue

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_CLASSES_ROOT

Object : xbtb07618.xbtb07618.1

Value :

 

Adware.Director Object Recognized!

Type : Regkey

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_USERS

Object : S-1-5-21-1614895754-725345543-682003330-1003\software\director

 

Adware.Director Object Recognized!

Type : RegValue

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_USERS

Object : S-1-5-21-1614895754-725345543-682003330-1003\software\director

Value : Affid

 

Adware.Director Object Recognized!

Type : RegValue

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_USERS

Object : S-1-5-21-1614895754-725345543-682003330-1003\software\director

Value : BaseURL

 

Adware.Director Object Recognized!

Type : RegValue

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_USERS

Object : S-1-5-21-1614895754-725345543-682003330-1003\software\director

Value : Uid

 

Adware.Director Object Recognized!

Type : RegValue

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_USERS

Object : S-1-5-21-1614895754-725345543-682003330-1003\software\director

Value : Request

 

Adware.Freeprod Toolbar Object Recognized!

Type : Regkey

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_USERS

Object : S-1-5-21-1614895754-725345543-682003330-1003\software\xbtb07618

 

Windows Object Recognized!

Type : RegData

Data : explorer.exe "c:\program files\fichiers communs\microsoft shared\web folders\ibm00001.exe"

Category : Vulnerability

Comment : Shell Possibly Compromised

Rootkey : HKEY_LOCAL_MACHINE

Object : software\microsoft\windows nt\currentversion\winlogon

Value : Shell

Data : explorer.exe "c:\program files\fichiers communs\microsoft shared\web folders\ibm00001.exe"

 

Registry Scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 24

Objects found so far: 24

 

 

Started deep registry scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Possible Browser Hijack attempt : Software\Microsoft\Internet Explorer\MainSearch Page.findthewebsiteyouneed.com

 

Possible Browser Hijack attempt Object Recognized!

Type : RegData

Data : "http://searchbar.findthewebsiteyouneed.com"'>http://searchbar.findthewebsiteyouneed.com"'>http://searchbar.findthewebsiteyouneed.com"'>http://searchbar.findthewebsiteyouneed.com"'>http://searchbar.findthewebsiteyouneed.com"'>http://searchbar.findthewebsiteyouneed.com"'>http://searchbar.findthewebsiteyouneed.com"'>http://searchbar.findthewebsiteyouneed.com"'>http://searchbar.findthewebsiteyouneed.com"'>http://searchbar.findthewebsiteyouneed.com"

Category : Vulnerability

Comment : Possible Browser Hijack attempt

Rootkey : HKEY_LOCAL_MACHINE

Object : Software\Microsoft\Internet Explorer\Main

Value : Search Page

Data : "http://searchbar.findthewebsiteyouneed.com"

Possible Browser Hijack attempt : Software\Microsoft\Internet Explorer\SearchSearchAssistant.findthewebsiteyouneed.com

 

Possible Browser Hijack attempt Object Recognized!

Type : RegData

Data : "http://searchbar.findthewebsiteyouneed.com"

Category : Vulnerability

Comment : Possible Browser Hijack attempt

Rootkey : HKEY_LOCAL_MACHINE

Object : Software\Microsoft\Internet Explorer\Search

Value : SearchAssistant

Data : "http://searchbar.findthewebsiteyouneed.com"

Possible Browser Hijack attempt : S-1-5-21-1614895754-725345543-682003330-1003\Software\Microsoft\Internet Explorer\MainSearch Page.findthewebsiteyouneed.com

 

Possible Browser Hijack attempt Object Recognized!

Type : RegData

Data : "http://searchbar.findthewebsiteyouneed.com"

Category : Vulnerability

Comment : Possible Browser Hijack attempt

Rootkey : HKEY_USERS

Object : S-1-5-21-1614895754-725345543-682003330-1003\Software\Microsoft\Internet Explorer\Main

Value : Search Page

Data : "http://searchbar.findthewebsiteyouneed.com"

Possible Browser Hijack attempt : S-1-5-21-1614895754-725345543-682003330-1003\Software\Microsoft\Internet Explorer\MainSearch Bar.findthewebsiteyouneed.com

 

Possible Browser Hijack attempt Object Recognized!

Type : RegData

Data : "http://searchbar.findthewebsiteyouneed.com"

Category : Vulnerability

Comment : Possible Browser Hijack attempt

Rootkey : HKEY_USERS

Object : S-1-5-21-1614895754-725345543-682003330-1003\Software\Microsoft\Internet Explorer\Main

Value : Search Bar

Data : "http://searchbar.findthewebsiteyouneed.com"

Possible Browser Hijack attempt : S-1-5-21-1614895754-725345543-682003330-1003\Software\Microsoft\Internet Explorer\MainDefault_Search_URL.findthewebsiteyouneed.com

 

Possible Browser Hijack attempt Object Recognized!

Type : RegData

Data : "http://searchbar.findthewebsiteyouneed.com"

Category : Vulnerability

Comment : Possible Browser Hijack attempt

Rootkey : HKEY_USERS

Object : S-1-5-21-1614895754-725345543-682003330-1003\Software\Microsoft\Internet Explorer\Main

Value : Default_Search_URL

Data : "http://searchbar.findthewebsiteyouneed.com"

 

Adware.Freeprod Toolbar Object Recognized!

Type : RegValue

Data :

Category : Possible Browser Hijack attempt

Comment : ({77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F})

Rootkey : HKEY_LOCAL_MACHINE

Object : SOFTWARE\Microsoft\Internet Explorer\Toolbar

Value : {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F}

 

Deep registry scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 6

Objects found so far: 30

 

 

Started Tracking Cookie scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : flo@serving-sys[1].txt

Category : Data Miner

Comment : Hits:10

Value : Cookie:flo@serving-sys.com/

Expires : 31-12-2037 23:00:00

LastSync : Hits:10

UseCount : 0

Hits : 10

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : flo@estat[1].txt

Category : Data Miner

Comment : Hits:2

Value : Cookie:flo@estat.com/

Expires : 16-01-2016 09:14:30

LastSync : Hits:2

UseCount : 0

Hits : 2

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : flo@bluestreak[1].txt

Category : Data Miner

Comment : Hits:1

Value : Cookie:flo@bluestreak.com/

Expires : 08-01-2016 08:43:44

LastSync : Hits:1

UseCount : 0

Hits : 1

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : flo@tribalfusion[2].txt

Category : Data Miner

Comment : Hits:5

Value : Cookie:flo@tribalfusion.com/

Expires : 01-01-2038 01:00:00

LastSync : Hits:5

UseCount : 0

Hits : 5

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : flo@doubleclick[1].txt

Category : Data Miner

Comment : Hits:3

Value : Cookie:flo@doubleclick.net/

Expires : 21-01-2009 06:37:56

LastSync : Hits:3

UseCount : 0

Hits : 3

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : flo@2o7[1].txt

Category : Data Miner

Comment : Hits:29

Value : Cookie:flo@2o7.net/

Expires : 07-12-2010 20:09:28

LastSync : Hits:29

UseCount : 0

Hits : 29

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : flo@weborama[2].txt

Category : Data Miner

Comment : Hits:2

Value : Cookie:flo@weborama.fr/

Expires : 10-01-2008 15:34:26

LastSync : Hits:2

UseCount : 0

Hits : 2

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : flo@www.cibleclick[1].txt

Category : Data Miner

Comment : Hits:1

Value : Cookie:flo@www.cibleclick.com/

Expires : 27-09-2037 01:00:00

LastSync : Hits:1

UseCount : 0

Hits : 1

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : flo@www.smartadserver[1].txt

Category : Data Miner

Comment : Hits:1

Value : Cookie:flo@www.smartadserver.com/

Expires : 27-11-2010

LastSync : Hits:1

UseCount : 0

Hits : 1

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : flo@adtech[2].txt

Category : Data Miner

Comment : Hits:2

Value : Cookie:flo@adtech.de/

Expires : 08-01-2016 13:17:50

LastSync : Hits:2

UseCount : 0

Hits : 2

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : flo@mediaplex[1].txt

Category : Data Miner

Comment : Hits:3

Value : Cookie:flo@mediaplex.com/

Expires : 22-06-2009 01:00:00

LastSync : Hits:3

UseCount : 0

Hits : 3

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : flo@cgi-bin[1].txt

Category : Data Miner

Comment : Hits:14

Value : Cookie:flo@imrworldwide.com/cgi-bin

Expires : 17-11-2015 08:50:52

LastSync : Hits:14

UseCount : 0

Hits : 14

 

Tracking cookie scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 12

Objects found so far: 42

 

 

 

Deep scanning and examining files...

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Disk Scan Result for C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 42

 

CmdServices Object Recognized!

Type : File

Data : atmtd.dll

Category : Possible Browser Hijack attempt

Comment :

Object : C:\WINDOWS\System32\

 

 

 

CmdServices Object Recognized!

Type : File

Data : atmtd.dll._

Category : Possible Browser Hijack attempt

Comment :

Object : C:\WINDOWS\System32\

 

 

 

Targetsavers Object Recognized!

Type : File

Data : tsuninst.exe

Category : Malware

Comment :

Object : C:\WINDOWS\System32\

 

 

 

Disk Scan Result for C:\WINDOWS\System32

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 45

 

Targetsavers Object Recognized!

Type : File

Data : tsinstall_4_0_4_0_b4.exe

Category : Malware

Comment :

Object : C:\DOCUME~1\flo\LOCALS~1\Temp\

 

 

 

Disk Scan Result for C:\DOCUME~1\flo\LOCALS~1\Temp\

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 46

 

 

Scanning Hosts file......

Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Hosts file scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

29 entries scanned.

New critical objects:0

Objects found so far: 46

 

 

 

MRU List Object Recognized!

Location: : C:\Documents and Settings\flo\recent

Description : list of recently opened documents

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1614895754-725345543-682003330-1003\software\adobe\photoshop\7.0\visiteddirs

Description : adobe photoshop 7 recent work folders

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1614895754-725345543-682003330-1003\software\microsoft\direct3d\mostrecentapplication

Description : most recent application to use microsoft direct3d

 

 

MRU List Object Recognized!

Location: : software\microsoft\direct3d\mostrecentapplication

Description : most recent application to use microsoft direct3d

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1614895754-725345543-682003330-1003\software\microsoft\direct3d\mostrecentapplication

Description : most recent application to use microsoft direct X

 

 

MRU List Object Recognized!

Location: : software\microsoft\direct3d\mostrecentapplication

Description : most recent application to use microsoft direct X

 

 

MRU List Object Recognized!

Location: : software\microsoft\directdraw\mostrecentapplication

Description : most recent application to use microsoft directdraw

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1614895754-725345543-682003330-1003\software\microsoft\directinput\mostrecentapplication

Description : most recent application to use microsoft directinput

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1614895754-725345543-682003330-1003\software\microsoft\directinput\mostrecentapplication

Description : most recent application to use microsoft directinput

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1614895754-725345543-682003330-1003\software\microsoft\internet explorer

Description : last download directory used in microsoft internet explorer

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1614895754-725345543-682003330-1003\software\microsoft\internet explorer\typedurls

Description : list of recently entered addresses in microsoft internet explorer

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1614895754-725345543-682003330-1003\software\microsoft\mediaplayer\medialibraryui

Description : last selected node in the microsoft windows media player media library

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1614895754-725345543-682003330-1003\software\microsoft\mediaplayer\player\settings

Description : last open directory used in jasc paint shop pro

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1614895754-725345543-682003330-1003\software\microsoft\mediaplayer\preferences

Description : last cd record path used in microsoft windows media player

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1614895754-725345543-682003330-1003\software\microsoft\mediaplayer\preferences

Description : last playlist index loaded in microsoft windows media player

 

 

MRU List Object Recognized!

Location: : .DEFAULT\software\microsoft\mediaplayer\preferences

Description : last playlist loaded in microsoft windows media player

 

 

MRU List Object Recognized!

Location: : S-1-5-18\software\microsoft\mediaplayer\preferences

Description : last playlist loaded in microsoft windows media player

 

 

MRU List Object Recognized!

Location: : S-1-5-19\software\microsoft\mediaplayer\preferences

Description : last playlist loaded in microsoft windows media player

 

 

MRU List Object Recognized!

Location: : S-1-5-20\software\microsoft\mediaplayer\preferences

Description : last playlist loaded in microsoft windows media player

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1614895754-725345543-682003330-1003\software\microsoft\mediaplayer\preferences

Description : last playlist loaded in microsoft windows media player

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1614895754-725345543-682003330-1003\software\microsoft\search assistant\acmru

Description : list of recent search terms used with the search assistant

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1614895754-725345543-682003330-1003\software\microsoft\windows\currentversion\applets\paint\recent file list

Description : list of files recently opened using microsoft paint

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1614895754-725345543-682003330-1003\software\microsoft\windows\currentversion\applets\regedit

Description : last key accessed using the microsoft registry editor

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1614895754-725345543-682003330-1003\software\microsoft\windows\currentversion\applets\wordpad\recent file list

Description : list of recent files opened using wordpad

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1614895754-725345543-682003330-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru

Description : list of recent programs opened

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1614895754-725345543-682003330-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru

Description : list of recently saved files, stored according to file extension

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1614895754-725345543-682003330-1003\software\microsoft\windows\currentversion\explorer\recentdocs

Description : list of recent documents opened

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1614895754-725345543-682003330-1003\software\microsoft\windows\currentversion\explorer\runmru

Description : mru list for items opened in start | run

 

 

MRU List Object Recognized!

Location: : .DEFAULT\software\microsoft\windows media\wmsdk\general

Description : windows media sdk

 

 

MRU List Object Recognized!

Location: : S-1-5-18\software\microsoft\windows media\wmsdk\general

Description : windows media sdk

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1614895754-725345543-682003330-1003\software\microsoft\windows media\wmsdk\general

Description : windows media sdk

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1614895754-725345543-682003330-1003\software\winrar\dialogedithistory\extrpath

Description : winrar "extract-to" history

 

 

 

Performing conditional scans...

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Adware.Freeprod Toolbar Object Recognized!

Type : Regkey

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_CURRENT_USER

Object : software\director

 

Adware.Freeprod Toolbar Object Recognized!

Type : RegValue

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_CURRENT_USER

Object : software\director

Value : Affid

 

Adware.Freeprod Toolbar Object Recognized!

Type : RegValue

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_CURRENT_USER

Object : software\director

Value : BaseURL

 

Adware.Freeprod Toolbar Object Recognized!

Type : RegValue

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_CURRENT_USER

Object : software\director

Value : Uid

 

Adware.Freeprod Toolbar Object Recognized!

Type : RegValue

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_CURRENT_USER

Object : software\director

Value : Request

 

Adware.Freeprod Toolbar Object Recognized!

Type : Regkey

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : software\microsoft\windows\currentversion\uninstall\xbtb07618.xbtb07618toolbar

 

Adware.Freeprod Toolbar Object Recognized!

Type : RegValue

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : software\microsoft\windows\currentversion\uninstall\xbtb07618.xbtb07618toolbar

Value : DisplayName

 

Adware.Freeprod Toolbar Object Recognized!

Type : RegValue

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : software\microsoft\windows\currentversion\uninstall\xbtb07618.xbtb07618toolbar

Value : UninstallString

 

Adware.Freeprod Toolbar Object Recognized!

Type : Regkey

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : software\microsoft\internet explorer\extensions\{77fbf9b8-1d37-4ff2-9ced-192d8e3aba6f}

 

Adware.Freeprod Toolbar Object Recognized!

Type : RegValue

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : software\microsoft\internet explorer\extensions\{77fbf9b8-1d37-4ff2-9ced-192d8e3aba6f}

Value : ButtonText

 

Adware.Freeprod Toolbar Object Recognized!

Type : RegValue

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : software\microsoft\internet explorer\extensions\{77fbf9b8-1d37-4ff2-9ced-192d8e3aba6f}

Value : CLSID

 

Adware.Freeprod Toolbar Object Recognized!

Type : RegValue

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : software\microsoft\internet explorer\extensions\{77fbf9b8-1d37-4ff2-9ced-192d8e3aba6f}

Value : Default Visible

 

Adware.Freeprod Toolbar Object Recognized!

Type : RegValue

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : software\microsoft\internet explorer\extensions\{77fbf9b8-1d37-4ff2-9ced-192d8e3aba6f}

Value : HotIcon

 

Adware.Freeprod Toolbar Object Recognized!

Type : RegValue

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : software\microsoft\internet explorer\extensions\{77fbf9b8-1d37-4ff2-9ced-192d8e3aba6f}

Value : Icon

 

Adware.Freeprod Toolbar Object Recognized!

Type : RegValue

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : software\microsoft\internet explorer\extensions\{77fbf9b8-1d37-4ff2-9ced-192d8e3aba6f}

Value : MenuStatusBar

 

Adware.Freeprod Toolbar Object Recognized!

Type : RegValue

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : software\microsoft\internet explorer\extensions\{77fbf9b8-1d37-4ff2-9ced-192d8e3aba6f}

Value : MenuText

 

Adware.Freeprod Toolbar Object Recognized!

Type : RegValue

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : software\microsoft\internet explorer\extensions\{77fbf9b8-1d37-4ff2-9ced-192d8e3aba6f}

Value : ClsidExtension

 

Adware.Freeprod Toolbar Object Recognized!

Type : RegValue

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_CURRENT_USER

Object : software\microsoft\internet explorer\extensions\cmdmapping

Value : {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F}

 

Adware.Freeprod Toolbar Object Recognized!

Type : RegValue

Data :

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_CURRENT_USER

Object : software\microsoft\windows\currentversion\internet settings

Value : GlobalUserOffline

 

Adware.Freeprod Toolbar Object Recognized!

Type : RegData

Data : 0

Category : Possible Browser Hijack attempt

Comment :

Rootkey : HKEY_CURRENT_USER

Object : software\microsoft\internet explorer\main\featurecontrol\feature_localmachine_lockdown

Value : iexplore.exe

Data : 0

 

Adware.Freeprod Toolbar Object Recognized!

Type : Folder

Category : Possible Browser Hijack attempt

Comment :

Object : C:\Program Files\Freeprod Toolbar

 

Adware.Freeprod Toolbar Object Recognized!

Type : Folder

Category : Possible Browser Hijack attempt

Comment :

Object : C:\Program Files\freeprod toolbar\Cache

 

Adware.Freeprod Toolbar Object Recognized!

Type : File

Data : basis.xml

Category : Possible Browser Hijack attempt

Comment :

Object : C:\Program Files\freeprod toolbar\

 

 

 

Adware.Freeprod Toolbar Object Recognized!

Type : File

Data : favicon.ico

Category : Possible Browser Hijack attempt

Comment :

Object : C:\Program Files\freeprod toolbar\

 

 

 

Adware.Freeprod Toolbar Object Recognized!

Type : File

Data : freeprod.crc

Category : Possible Browser Hijack attempt

Comment :

Object : C:\Program Files\freeprod toolbar\

 

 

 

Adware.Freeprod Toolbar Object Recognized!

Type : File

Data : freeprod.dll

Category : Possible Browser Hijack attempt

Comment :

Object : C:\Program Files\freeprod toolbar\

FileVersion : 1, 0, 0, 4

ProductVersion : 1, 0, 0, 1

ProductName : IE Toolbar

CompanyName : IE Toolbar

FileDescription : IE Toolbar

InternalName : IE Toolbar

LegalCopyright : Copyright 2001-2003. All rights reserved.

OriginalFilename : toolbar.dll

 

 

Adware.Freeprod Toolbar Object Recognized!

Type : File

Data : icons.bmp

Category : Possible Browser Hijack attempt

Comment :

Object : C:\Program Files\freeprod toolbar\

 

 

 

Adware.Freeprod Toolbar Object Recognized!

Type : File

Data : msvcp60.dll

Category : Possible Browser Hijack attempt

Comment :

Object : C:\Program Files\freeprod toolbar\

FileVersion : 6.00.8972.0

ProductVersion : 6.00.8972.0

ProductName : Microsoft ® Visual C++

CompanyName : Microsoft Corporation

FileDescription : Microsoft ® C++ Runtime Library

InternalName : MSVCP60.DLL

LegalCopyright : Copyright © Microsoft Corp. 1981-1998

OriginalFilename : MSVCP60.DLL

 

 

Adware.Freeprod Toolbar Object Recognized!

Type : File

Data : msvcrt.dll

Category : Possible Browser Hijack attempt

Comment :

Object : C:\Program Files\freeprod toolbar\

FileVersion : 6.10.9359.0

ProductVersion : 6.10.9359.0

ProductName : Microsoft ® Visual C++

CompanyName : Microsoft Corporation

FileDescription : Microsoft ® C Runtime Library

InternalName : MSVCRT.DLL

LegalCopyright : Copyright © Microsoft Corp. 1981-1999

OriginalFilename : MSVCRT.DLL

 

 

Adware.Freeprod Toolbar Object Recognized!

Type : File

Data : version.txt

Category : Possible Browser Hijack attempt

Comment :

Object : C:\Program Files\freeprod toolbar\

 

 

 

Adware.Freeprod Toolbar Object Recognized!

Type : File

Data : id.id

Category : Possible Browser Hijack attempt

Comment :

Object : C:\DOCUME~1\flo\LOCALS~1\Temp\

 

 

 

CmdServices Object Recognized

Modifié le 22 janvier 2006 par alec

[Jack_Burton]

Bonjour et bienvenu sur le forum sécurité de zebulon,

 

Ton rapport est incomplet, il manque le début avec la référence du systeme d exploitation!

 

Commence par appliquer la procédure préliminaire :

HIJACKTHIS

 

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com . Une fois passé en mode sans echec, installer et paramétrer Antivir. Il est impératif de le configurer correctement afin de faire le meilleur scan possible --> voir la procédure ici (imprimez la) : http://speedweb1.free.fr/frames2.php?page=tuto5

 

nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème

 

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- désinstallation d'Antivir

 

-- terminer les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre puis cliquer sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

 

- Redémarrer le PC en mode normal

 

- installation et utilisation d'HijackThis

 

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- arrêter tous les programmes en cours et fermer toutes les fenêtres

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

Phase 4

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post que vous créez sur le forum Analyse rapports HijackThis, Eradication malwares de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

 

 

auteur : megataupe