PROGRAMME ESPION GRAYWARE KEYL_SE. 71724

SANDRA88 · le 31 janvier 2006

Bonjour,

Mon SOS, c'est est un, attend une réponse à un grave probléme récurrent.

Je ne ferai plus de tests, de scans, de rapports : des dizaines depuis des mois, auprés d'amis, d'informaticiens, de forums POUR RIEN.

Aprés des galéres sans fin, des nuits blanches totales, une dépression qui me gagne, il semblait impossible de DETECTER QUELQUE CHOSE sur mon PC.

Aprés des kilos de feuilles de tests, des dizainesde pages de notes, je viens de trouver il y a deux jours le nom de mon parasite, aprés avoir passé 38 h sans dormir, en restant sur l'ordinateur !!!!!!!!

Quelques jours plus tôt, j'ai passé une nuit sans dormir, à charger des logiciels, sur un forum ou finalement tout a été euthanasié en une journée par ce systeme : POTENTIALLY MASKED FILES KEYL_SE. 71724, classé comme grayware/programme espion chez TEND MICRO, le premier à faire un diagnostic en ligne.

Il est stipulé qu'il n'existe aucune info !!!!

Rien sur le net, sauf quelques pages en anglais sur un site, je ne peux déchiffrer.

J'ai trouvé des fichiers, des dizaines d'anomalies et de "signes", nous jouons au chat et à la souris !

C'est inimaginable et incroyable pour celui qui ne le vit pas.

Je suis traumatisée et dorénavant je prends tout en photos et je m'apprête à terminer un dossier pour porter plainte. J'espére qu'il lit cela, car au moment de terminer ma fiche, la connection aol à coupé net, sans entendre les bruits de la coupure (???)

Précédent forum même phénomène et ensuite, impossibilité de revenir sur le site....

Je préfére ne plus en parler...

Qui serait suffisamment pro pour me permettre de localiser mon espion ou de me dire comment répondre aux questions en anglais à TROJAN REMOVER qui m'a détecté toutes les failles contaminées (premiere fois) en mode sans échec ?

Lorsque j'arrive dans le systéme 32, une fenêtre me met en garde pour les manip....

J'ai déjà cliqué sur OK, pour renommer des dossiers, ayant réussi à traduire le message envoyé.

Hier, sur Tend micro, je finis par arriver (X essais) à "effacer", en apparence le logiciel espion.

Seulement voilé, cet aprés midi en travaillant sur mes photos pour constituer un dossier, j'ai vu une sorte de document bloc note, qui m'a intrigué: je n'avais rien 5 minutes avant...

Puis, plus rien quelques instants aprés.... disparu mais où?

Hier, je trouve dans un dossier vide, un autre dossier AVEC PLEIN DE CHIFFRES, j'ouvre et je trouve 3 photos stockées de mon écran , alors qu'il n'y avait rien !!!!!!!

Je le mets à la poubelle, je vais voir : pas trouvé.....

Je suis novice en informatique mais je pense déduire qu'il stocke et "s'envoie" ensuite ce qui l'intéresse.

Piratage de 3 ans de mails qu'il efface et des données confidentielles probablement dupliquées, des noms, des adresses, des dossiers sensibles...

Je suis contrainte de signaler aux autorités en cas de fuite, afin de me préserver d'ennuis.

Je ne formaterai pas de suite : JE VOUDRAIS IDENTIFIER L'auteur !

Il n'est pas certain que le Procureur donne une suite à mon courrier, les recherches se font surtout pour les entreprises.

Pouvez vous m'aider en partant sur la base de recherches d'infos sur ce "greyware inconnu" ?

Comment identifier l'auteur , puisqu'il détruit les logiciels en place, les antivirus, les anti spywares et empéche les mises à jour souvent. Une ou deux fois par semaine, je dois réinstaller le tout.

LOOK' n STOP installé, (avec bien des difficultés) suite à conseils, a tenu une journée !!!!

Prés de 2000 bruits en une heure environ ("boot", renvoie tout à mon PC, suite attaque si j'ai bien compris les quelques infos glanées sur "l'aide".

RIEN DANS LES RAPPORTS, je rappelle que seuls TEND MICRO ET TROJAN REMOVER ont identifié précisément les anomalies (clés) et trouvé son nom!

Je pense que le probléme ne pourrait se résoudre qu'au téléphone, trop long par écrit et imprécis.

J'ai appliqué 1O00 méthodes, 1000 conseils , en vain : il revient... et mon travail dessus est devenu un enfer : l'imprimante dysfonctionne, chaque jour du nouveau , à petites doses, mais çà bouffe une vie !!!!

Voilà partons SVP des bases de découvertes récentes pour avancer.

En espérant un lecteur trés compétent et sûr de lui car il faut tenir compte de tout ce qui a déjà été fait, c'est énorme...

Cordialement et merci par avance au génie qui s'annoncera...l'adversaire est de taille, çà je puis vous le garantir.

Mark · le 31 janvier 2006

Bonjour Sandra88, et soit la bienvenue sur Zeb' Sécurité

Ok ; une petite recherche sur ce fichier me donne un résultat possible : Perfect Keylogger. Ce n'est qu'une piste, à ce stade-ci. Tu parles de plusieurs scans effectués, donc j'en déduis que tu as visité d'autres forums de sécurité. Si c'est le cas, on t'a probablement fait scanner avec des programmes tels HijackThis!, RootkitRevealer, Ewido, Spy Sweeper, Silent Runners, et autres... Tous d'excellents programmes, conçus pour détecter une multitude de bestioles "grande diffusion", qui infectent plus de 70% des ordinateurs de type PC. Lorsqu'il s'agit d'un logiciel dit "espion" et "légal" comme Perfect Keylogger, là, c'est moins évident. Moins évident car ces programmes sont distribués commercialement, dans le but de faire de la "surveillance", et sont généralement très sophistiqués et bien cachés. Les gens doivent payer pour se les procurer, donc le fabricant doit pouvoir garantir une certaine efficacité, c'est-à-dire une invisibilité. Si un simple logiciel gratuit anti-spyware tel SpyBot ou Ad-Aware pouvait les détecter, ils ne seraient pas pris au sérieux par les futurs acheteurs.

Ceci dit, nous voyons très rarement des "infections" de ce genre sur les forums, car la grande force de ces programmes est de ne pas éveiller le doute chez l'utilisateur "surveillé" donc, idéalement, c'est l'invisibilité parfaite. Mais rien n'est parfait !

Je te propose donc, oui, un autre scan... avec un programme très peu utilisé sur les forums, car conçu spécialement pour la détection de tels programmes. Il se nomme SpyCop. SpyCop offre une version d'essai, gratuite, qui offre moins de puissance de détection que la version payante, mais qui pourrait nous signaler la présence d'un logiciel espion tel Perfect Keylogger ou Spector (les deux mieux connus de cette catégorie). Disponible de ce lien :

http://spycop.com/spycop-free-product.htm

...clique sur le bouton "Download". Si je me souviens bien, le programme te dira qu'il effectue un test de compatibilité (terme qu'ils emploient - je ne sais trop pourquoi). Si le programme trouve une trace d'un keylogger commercial, tu vas en être avisée. Si SpyCop ne trouve rien, on pourra essayer un autre petit programme de la compagnie F-Secure (bien connue dans le domaine des antivirus), qui se nomme BlackLight. On verra...

Libre à toi de poster les résultats ici, ou non.

Le formatage demeure la solution la plus efficace dans de telles situations ; si tu veux identifier le coupable, alors il faut fouiller encore un peu.

Modifié le 31 janvier 2006 par Qc001

le 31 janvier 2006

RIEN DANS LES RAPPORTS, je rappelle que seuls TEND MICRO ET TROJAN REMOVER ont identifié précisément les anomalies (clés) et trouvé son nom!

Salut,

si tu nous donnais ces clés dans le registre !

ca pourrait faire avancé le sujet

ipl_001 · le 31 janvier 2006

Bonjour SANDRA88, Qc001, tesgaz, bonjour à tous,

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

Je suis très intéressé par ton problème et je vais essayer de suivre ce qui est demandé par Qc001 et tesgaz... et j'espère participer autant que je le peux !

SANDRA88 · le 31 janvier 2006

Bonjour SANDRA88, Qc001, tesgaz, bonjour à tous,

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

Je suis très intéressé par ton problème et je vais essayer de suivre ce qui est demandé par Qc001 et tesgaz... et j'espère participer autant que je le peux !

Bonjour à tous, et merci pour votre mobilisation.

Beaucoup à dire…

1 mode sans échec de spywar, evido rien

Hitjacthis, voir rapport joint

Rootkit revealer me dit : « unable to install rootkit service : une opération d’entrée/sortie avec chevauchement est en cours d’utilisation ».

Nettoyé avec Cleaner. Je n’ose pas virer ce qu’il met dans « les erreurs », il y des clés renommées en mode sans échec (j’ai cliqué pour ce choix) , lors d’un scan de trojan remover (à tort ou à raison…). Viré (en stressant) le programme VIEWPOINT EXPERIENCE TECHNOLOGY , un scan me signalait 44 lignes sur ce programme en parlant de toolbar…. Alors, tant pis, j’ai viré …

2 mode normal, hors connexion web, scan de registrit toolkit : 173 points relevés (en anglais, pas facile de piger tout) Pour nettoyer…, il faut l’acheter.

Trend micro CWShredder : pas de COOLWEBSEARCH détecté…. Mais il est signalé sur le web que AOL.EXE est sa variante…..

Rapport scan joint

Je précise qu’hier le deuxiéme test avec TEND MICRO en ligne , ne mentionne plus KEYL SE 71724….(lire avant). Il en serait venu à bout ? ? ? Une fenêtre s’ouvre : « WAOL. EXE PAS DE DISQUE : il n’y a pas de disque dans le lecteur. Insérez un disque dans le lecteur » ( ? ? ? ? ? ? ? ? ? ? ? ?). Le scan de Tend bloque à cause de la fenêtre que je n’arrive pas à fermer et mes réponses aux trois possibles (annuler, recommencer…) bloque aussi. A force d’insister, je réussis progressivement à faire avancer le scan en cours.

Ouf ! Ca vaut le coup : KEYL disparu…. Et 5 COOKIES HTTP SIGNALES :

Cookie_SE. 54805 IDEM 52797 IDEM 61 IDEM 77206 IDEM 50506.

Je tente le nettoyage. De nouveau, même fenêtre « WAOL. EXE » et même texte…

Je ne viendrai pas à bout de la fenêtre et le nettoyage ne se fera pas.

3 Durant « l’expérience », à deux reprises, deux inspirations fortes suivies de « hum » « hum » (phénomène récurrent comme quelqu’un qui respire le parfum d’une fleur ). Je constate que le scan s’interrompt au moment de ces bruits….Chaque fois, que je fais une opération de recherches sur le rootkit, j'ai droit à cela, comme une façon de prouver « qu’il est là, qu’il voit… » Cela use mes nerfs.

4 Je cherche dans le disque les WAOL. EXE : des lignes suspectes à mon sens, dont un renvoi dans windows, dossier « perfect », 160 lignes constituant les noms de tous mes logiciels utilisés nuit et jour !

Curieusement, une fois de plus, en visualisant ces Waol, COUPURE AOL et comme chaque fois en silence… (normalement, j’entends le bruit de la ligne téléphonique).

La veille, tentative de connection sur votre forum, inscription et COUPURE au moment où je clique pour terminer ma fiche et arriver au forum. De nouveau, pas de bruit habituel de ligne téléphonique au moment de cette coupure. J’aimerais comprendre pourquoi .

Dans la journée, dans un dossier photos, je vois un ficher genre bloc note qui figure à côté des icônes de photos…Ce n’est pas moi qui l’ai placé là. Quelque minutes plus tard, plus rien, je pense qu’en l’ouvrant il aurait été vide (comme souvent).

Auparavant, un scan PANDA n’a pas pu aboutir, à cause de la même fenêtre…..

Durant le temps où cette fenêtre est là, je vois dans la barre bleue en bas de l’écran « téléchargement »…

Je me demande si cela vient de tend micro (il scanne pour nettoyage) ou si c’est mon espion qui s’expédie son stock de détournements d’infos ! ! ! ! !

Puis, je vois « téléchargement de l’image », alors là, qu’en pensez vous ? ? ? ? Il s’approprie les photos d’écran des anomalies et de tous les scans ? ? ? ?

5 La veille, un dossier vide normalement, laisse apparaître un dossier avec tout une suite de chiffres, en guise de nom. J’ouvre, je trouve des photos de l’écran de l’ordinateur, servant à constituer mon dossier, si je porte plainte.

Qui peut me dire pourquoi ce « détournement », si ce n’est que quelqu’un compte « se l’expédier » en suite ?

6 AOL signale « une erreur est survenue et aol doit être fermé », ensuite me propose une « mise à jour », ou similaire et me dit qu’il doit redémarrer maintenant…

Est ce vraiment aol, et je trouve des similitudes avec des incidents et mes effacements de mails archivés et derniérement les favoris…

7 une autre tentative sur TEND MICRO pour nettoyer les anomalies trouvées échoue, avec une coupure d’aol.

8 SPYCOP chargé mais en anglais. Il faudrait d’abord quelle case cocher dans les pages défilantes ?

Ensuite, comment paramétrer les options du scan

Il stipule : « trial mode scan done. Somes files were skipped »

Au milieu des deux cadres jaunes, stipulé « suspicious files double click for more information or to renave »

Inspiration, respiration encore en direct…

J’ai peur d’une coupure, j’envoie mon message

Bonjour à tous, et merci pour votre mobilisation.

Beaucoup à dire…

1 mode sans échec de spywar, evido rien

Hitjacthis, voir rapport joint

Rootkit revealer me dit : « unable to install rootkit service : une opération d’entrée/sortie avec chevauchement est en cours d’utilisation ».

Nettoyé avec Cleaner. Je n’ose pas virer ce qu’il met dans « les erreurs », il y des clés renommées en mode sans échec (j’ai cliqué pour ce choix) , lors d’un scan de trojan remover (à tort ou à raison…). Viré (en stressant) le programme VIEWPOINT EXPERIENCE TECHNOLOGY , un scan me signalait 44 lignes sur ce programme en parlant de toolbar…. Alors, tant pis, j’ai viré …

2 mode normal, hors connexion web, scan de registrit toolkit : 173 points relevés (en anglais, pas facile de piger tout) Pour nettoyer…, il faut l’acheter.

Trend micro CWShredder : pas de COOLWEBSEARCH détecté…. Mais il est signalé sur le web que AOL.EXE est sa variante…..

Rapport scan joint

Je précise qu’hier le deuxiéme test avec TEND MICRO en ligne , ne mentionne plus KEYL SE 71724….(lire avant). Il en serait venu à bout ? ? ? Une fenêtre s’ouvre : « WAOL. EXE PAS DE DISQUE : il n’y a pas de disque dans le lecteur. Insérez un disque dans le lecteur » ( ? ? ? ? ? ? ? ? ? ? ? ?). Le scan de Tend bloque à cause de la fenêtre que je n’arrive pas à fermer et mes réponses aux trois possibles (annuler, recommencer…) bloque aussi. A force d’insister, je réussis progressivement à faire avancer le scan en cours.

Ouf ! Ca vaut le coup : KEYL disparu…. Et 5 COOKIES HTTP SIGNALES :

Cookie_SE. 54805 IDEM 52797 IDEM 61 IDEM 77206 IDEM 50506.

Je tente le nettoyage. De nouveau, même fenêtre « WAOL. EXE » et même texte…

Je ne viendrai pas à bout de la fenêtre et le nettoyage ne se fera pas.

3 Durant « l’expérience », à deux reprises, deux inspirations fortes suivies de « hum » « hum » (phénomène récurrent comme quelqu’un qui respire le parfum d’une fleur ). Je constate que le scan s’interrompt au moment de ces bruits….Chaque fois, que je fais une opération de recherches sur le rootkit, j'ai droit à cela, comme une façon de prouver « qu’il est là, qu’il voit… » Cela use mes nerfs.

4 Je cherche dans le disque les WAOL. EXE : des lignes suspectes à mon sens, dont un renvoi dans windows, dossier « perfect », 160 lignes constituant les noms de tous mes logiciels utilisés nuit et jour !

Curieusement, une fois de plus, en visualisant ces Waol, COUPURE AOL et comme chaque fois en silence… (normalement, j’entends le bruit de la ligne téléphonique).

La veille, tentative de connection sur votre forum, inscription et COUPURE au moment où je clique pour terminer ma fiche et arriver au forum. De nouveau, pas de bruit habituel de ligne téléphonique au moment de cette coupure. J’aimerais comprendre pourquoi .

Dans la journée, dans un dossier photos, je vois un ficher genre bloc note qui figure à côté des icônes de photos…Ce n’est pas moi qui l’ai placé là. Quelque minutes plus tard, plus rien, je pense qu’en l’ouvrant il aurait été vide (comme souvent).

Auparavant, un scan PANDA n’a pas pu aboutir, à cause de la même fenêtre…..

Durant le temps où cette fenêtre est là, je vois dans la barre bleue en bas de l’écran « téléchargement »…

Je me demande si cela vient de tend micro (il scanne pour nettoyage) ou si c’est mon espion qui s’expédie son stock de détournements d’infos ! ! ! ! !

Puis, je vois « téléchargement de l’image », alors là, qu’en pensez vous ? ? ? ? Il s’approprie les photos d’écran des anomalies et de tous les scans ? ? ? ?

5 La veille, un dossier vide normalement, laisse apparaître un dossier avec tout une suite de chiffres, en guise de nom. J’ouvre, je trouve des photos de l’écran de l’ordinateur, servant à constituer mon dossier, si je porte plainte.

Qui peut me dire pourquoi ce « détournement », si ce n’est que quelqu’un compte « se l’expédier » en suite ?

6 AOL signale « une erreur est survenue et aol doit être fermé », ensuite me propose une « mise à jour », ou similaire et me dit qu’il doit redémarrer maintenant…

Est ce vraiment aol, et je trouve des similitudes avec des incidents et mes effacements de mails archivés et derniérement les favoris…

7 une autre tentative sur TEND MICRO pour nettoyer les anomalies trouvées échoue, avec une coupure d’aol.

8 SPYCOP chargé mais en anglais. Il faudrait d’abord quelle case cocher dans les pages défilantes ?

Ensuite, comment paramétrer les options du scan

Il stipule : « trial mode scan done. Somes files were skipped »

Au milieu des deux cadres jaunes, stipulé « suspicious files double click for more information or to renave »

Inspiration, respiration encore en direct…

J’ai peur d’une coupure, j’envoie mon message

Scan CWSHREDDER «31 janv 06

**** Run Keys ****

RUN: [siS Tray] C:\WINDOWS\System32\sistray.EXE

RUN: [siS KHooker] C:\WINDOWS\System32\khooker.exe

RUN: [soundMan] SOUNDMAN.EXE

RUN: [CHotkey] mHotkey.exe

RUN: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

RUN: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

RUN: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

RUN: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

RUN: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

RUN: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

RUN: [HostManager] C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLHostManager.exe

RUN: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

RUN: [OM_Monitor] C:\Documents and Settings\sandra\Mes documents\FirstStart.exe

RUN: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

RUN: [WebrootDesktopFirewall] C:\Program Files\Webroot\Desktop Firewall\webrootdesktopfirewall.exe -t

RUN: [Registry Toolkit] C:\Program Files\Registry Toolkit\RegToolkit.exe /scan

RUN: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

RUN: [OM_Monitor] C:\Documents and Settings\sandra\Mes documents\Monitor.exe

RUN: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe

**** Browser Helper Objects ****

BHO: [AcroIEHlprObj Class] C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

**** IE Toolbars ****

TOOLBAR: [AOL Toolbar] C:\Program Files\AOL Toolbar\toolbar.dll

TOOLBAR: [&Radio] C:\WINDOWS\System32\msdxm.ocx

**** IE Extensions ****

IEExt: []

IEExt: [Web Browser Applet Control] C:\WINDOWS\System32\msjava.dll

IEExt: [AOL Toolbar] C:\WINDOWS\System32\msjava.dll

IEExt: [Real.com] C:\WINDOWS\System32\msjava.dll

IEExt: [Messenger] C:\Program Files\Messenger\MSMSGS.EXE

**** Hosts File Entries ****

HOSTS: 127.0.0.1 localhost

**** IE Settings ****

Default Page: http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome

Default Search: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Local Page: C:\WINDOWS\System32\blank.htm

Search Bar: http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchasst.htm

Search Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

**** IE Context Menu (Right click) ****

IEContext: [&Recherche AOL Toolbar] res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

**** Layered Service Providers ****

LSP: MSAFD Tcpip [TCP/IP]

LSP: MSAFD Tcpip [uDP/IP]

LSP: RSVP UDP Service Provider

LSP: RSVP TCP Service Provider

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{43881E61-3251-49BF-8909-BAD8D858A309}] SEQPACKET 0

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{43881E61-3251-49BF-8909-BAD8D858A309}] DATAGRAM 0

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{52CC62D2-16A5-4A28-BBB2-02371DF5FB65}] SEQPACKET 1

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{52CC62D2-16A5-4A28-BBB2-02371DF5FB65}] DATAGRAM 1

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{25690A4F-9A8B-4C0B-8497-3EA802FB0485}] SEQPACKET 2

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{25690A4F-9A8B-4C0B-8497-3EA802FB0485}] DATAGRAM 2

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E42B4CAF-32B4-47AD-9E8B-B844F4F52432}] SEQPACKET 3

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E42B4CAF-32B4-47AD-9E8B-B844F4F52432}] DATAGRAM 3

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2EBDA082-8FA9-43A4-BC1F-B5FFDCE7CDCE}] SEQPACKET 4

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2EBDA082-8FA9-43A4-BC1F-B5FFDCE7CDCE}] DATAGRAM 4

**** Blocked Control Panel Items ****

BLOCKED: [ncpa.cpl] No

BLOCKED: [odbccp32.cpl] No

**** Downloaded Program Files ****

DirectAnimation Java Classes [file://C:\WINDOWS\Java\classes\dajava.cab]

Interface Chat Wanadoo [http://chat15.x-echo.com/version4/Applet/wchatsign.cab]

Microsoft XML Parser for Java [file://C:\WINDOWS\Java\classes\xmldso.cab]

ppctlcab [http://www.pestscan.com/scanner/ppctlcab.cab] C:\WINDOWS\Downloaded Program Files\ppctl.dll

{0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} [http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab]

{17492023-C23A-453E-A040-C7C580BBF700} [http://go.microsoft.com/fwlink/?linkid=39204] C:\WINDOWS\System32\LegitCheckControl.DLL

{2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} [http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab] C:\WINDOWS\Downloaded Program Files\navapi32.dll C:\WINDOWS\Downloaded Program Files\avsniffdlgs.dll C:\WINDOWS\Downloaded Program Files\avsniff.dll

{2FC9A21E-2069-4E47-8235-36318989DB13} [http://www.pestscan.com/scanner/axscanner.cab]

{33564D57-0000-0010-8000-00AA00389B71} [http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB]

{4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} [http://aolcc.aol.fr/computercheckup/qdiagcc.cab] C:\WINDOWS\System32\DLPT.VXD C:\WINDOWS\System32\DDMI2.sys C:\WINDOWS\System32\qdiagcc.ocx C:\WINDOWS\System32\DAntivirus.cfg

{56393399-041A-4650-94C7-13DFCB1F4665} [http://www.my-etrust.com/Support/PestScanner/pestscan.cab]

{6414512B-B978-451D-A0D8-FCFDF33E833C} [http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130442705793]

{644E432F-49D3-41A1-8DD5-E099162EEEC5} [http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab]

{6E5A37BF-FD42-463A-877C-4EB7002E68AE} [http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab]

{74D05D43-3236-11D4-BDCD-00C04F9A3B61} [http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab]

{7F8C8173-AD80-4807-AA75-5672F22B4582} [http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37480.cab]

{8AD9C840-044E-11D1-B3E9-00805F499D93} [http://java.sun.com/products/plugin/autodl/jinstall-1_4_2-windows-i586.cab]

{8EC69950-F299-40AC-A004-3BF5176F8F7B} [http://www.checkspy.com/fr/FlowScan.cab]

{981D847D-2C06-4FB7-A09C-4F0A48601B2C} [http://techcity.aol.fr/download/img/DiagSetup.cab]

{9A9307A0-7DA4-4DAF-B042-5009F29E09E1} [http://acs.pandasoftware.com/activescan/as5free/asinst.cab]

{B38870E4-7ECB-40DA-8C6A-595F0A5519FF} [http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab]

{CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} [http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab]

**** Windows Services ****

[Alerter] %SystemRoot%\System32\svchost.exe -k LocalService

[ALG] %SystemRoot%\System32\alg.exe

[AOL ACS] C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

[AOLService]

[AppMgmt] %SystemRoot%\system32\svchost.exe -k netsvcs

[aswUpdSv] "C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"

[AudioSrv] %SystemRoot%\System32\svchost.exe -k netsvcs

[avast! Antivirus] "C:\Program Files\Alwil Software\Avast4\ashServ.exe"

[avast! Mail Scanner] "C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service

[avast! Web Scanner] "C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service

[bITS] %SystemRoot%\System32\svchost.exe -k netsvcs

[browser] %SystemRoot%\System32\svchost.exe -k netsvcs

[bUQDYWQ]

[CiSvc] %SystemRoot%\system32\cisvc.exe

[ClipSrv] %SystemRoot%\system32\clipsrv.exe

[COMSysApp] C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}

[CryptSvc] %SystemRoot%\system32\svchost.exe -k netsvcs

[Dhcp] %SystemRoot%\System32\svchost.exe -k netsvcs

[DLHUA]

[dmadmin] %SystemRoot%\System32\dmadmin.exe /com

[dmserver] %SystemRoot%\System32\svchost.exe -k netsvcs

[Dnscache] %SystemRoot%\System32\svchost.exe -k NetworkService

[DRA]

[ERSvc] %SystemRoot%\System32\svchost.exe -k netsvcs

[Eventlog] %SystemRoot%\system32\services.exe

[EventSystem] C:\WINDOWS\System32\svchost.exe -k netsvcs

[ewido security suite control] C:\Program Files\ewido anti-malware\ewidoctrl.exe

[EX]

[FastUserSwitchingCompatibility] %SystemRoot%\System32\svchost.exe -k netsvcs

[FWUJDJXPHMW]

[GBTKWNZAO]

[helpsvc] %SystemRoot%\System32\svchost.exe -k netsvcs

[HidServ] %SystemRoot%\System32\svchost.exe -k netsvcs

[HPMUOJOOY]

[HVERKLBUQ] C:\DOCUME~1\sandra\LOCALS~1\Temp\HVERKLBUQ.exe

[iCTCVQZJMJZLRCC]

[imapiService] C:\WINDOWS\System32\imapi.exe

[lanmanserver] %SystemRoot%\System32\svchost.exe -k netsvcs

[lanmanworkstation] %SystemRoot%\System32\svchost.exe -k netsvcs

[LmHosts] %SystemRoot%\System32\svchost.exe -k LocalService

[Messenger] %SystemRoot%\System32\svchost.exe -k netsvcs

[MLAVBV]

[mnmsrvc] C:\WINDOWS\System32\mnmsrvc.exe

[MSDTC] C:\WINDOWS\System32\msdtc.exe

[MSIServer] C:\WINDOWS\System32\msiexec.exe /V

[NetDDE] %SystemRoot%\system32\netdde.exe

[NetDDEdsdm] %SystemRoot%\system32\netdde.exe

[Netlogon] %SystemRoot%\System32\lsass.exe

[Netman] %SystemRoot%\System32\svchost.exe -k netsvcs

[Nla] %SystemRoot%\System32\svchost.exe -k netsvcs

[NtLmSsp] %SystemRoot%\System32\lsass.exe

[NtmsSvc] %SystemRoot%\system32\svchost.exe -k netsvcs

[NUICP]

[OLXERHPG] C:\DOCUME~1\sandra\LOCALS~1\Temp\OLXERHPG.exe

[PlugPlay] %SystemRoot%\system32\services.exe

[PolicyAgent] %SystemRoot%\System32\lsass.exe

[ProtectedStorage] %SystemRoot%\system32\lsass.exe

[QHKHLE]

[QNLASVFEDGZB]

[RasAuto] %SystemRoot%\System32\svchost.exe -k netsvcs

[RasMan] %SystemRoot%\System32\svchost.exe -k netsvcs

[RDSessMgr] C:\WINDOWS\system32\sessmgr.exe

[RemoteAccess] %SystemRoot%\System32\svchost.exe -k netsvcs

[RpcLocator] %SystemRoot%\System32\locator.exe

[RpcSs] %SystemRoot%\system32\svchost -k rpcss

[RSVP] %SystemRoot%\System32\rsvp.exe

[samSs] %SystemRoot%\system32\lsass.exe

[sCardDrv] %SystemRoot%\System32\SCardSvr.exe

[sCardSvr] %SystemRoot%\System32\SCardSvr.exe

[schedule] %SystemRoot%\System32\svchost.exe -k netsvcs

[seclogon] %SystemRoot%\System32\svchost.exe -k netsvcs

[sENS] %SystemRoot%\system32\svchost.exe -k netsvcs

[sharedAccess] %SystemRoot%\System32\svchost.exe -k netsvcs

[shellHWDetection] %SystemRoot%\System32\svchost.exe -k netsvcs

[sLService] slserv.exe

[spooler] %SystemRoot%\system32\spoolsv.exe

[srservice] %SystemRoot%\System32\svchost.exe -k netsvcs

[sSDPSRV] %SystemRoot%\System32\svchost.exe -k LocalService

[stisvc] %SystemRoot%\System32\svchost.exe -k imgsvc

[svcWRSSSDK] C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

[swPrv] C:\WINDOWS\System32\dllhost.exe /Processid:{19BC5DA9-6015-474F-886C-A1E69ABBA835}

[sysmonLog] %SystemRoot%\system32\smlogsvc.exe

[TapiSrv] %SystemRoot%\System32\svchost.exe -k netsvcs

[TermService] %SystemRoot%\System32\svchost.exe -k netsvcs

[Themes] %SystemRoot%\System32\svchost.exe -k netsvcs

[TrkWks] %SystemRoot%\system32\svchost.exe -k netsvcs

[TUWinStylerThemeSvc] "C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe"

[TWZCDN]

[TYNUE] C:\DOCUME~1\sandra\LOCALS~1\Temp\TYNUE.exe

[uMWdf] C:\WINDOWS\System32\wdfmgr.exe

[uploadmgr] %SystemRoot%\System32\svchost.exe -k netsvcs

[upnphost] %SystemRoot%\System32\svchost.exe -k LocalService

[uPS] %SystemRoot%\System32\ups.exe

[uWAWCA]

[VSS] %SystemRoot%\System32\vssvc.exe

[W32Time] %SystemRoot%\System32\svchost.exe -k netsvcs

[WANMiniportService] "C:\WINDOWS\wanmpsvc.exe"

[WebClient] %SystemRoot%\System32\svchost.exe -k LocalService

[WebrootDesktopFirewallDataService] C:\Program Files\Webroot\Desktop Firewall\WDFDataService.exe

[WebrootFirewall] C:\Program Files\Webroot\Desktop Firewall\FirewallNTService.exe

[winmgmt] %systemroot%\system32\svchost.exe -k netsvcs

[WmdmPmSN] %SystemRoot%\System32\svchost.exe -k netsvcs

[WmiApSrv] C:\WINDOWS\System32\wbem\wmiapsrv.exe

[WT]

[wuauserv] %systemroot%\system32\svchost.exe -k netsvcs

[WUKPHH]

[wwSecSvc] C:\WINDOWS\System32\wwSecure.exe

[WZCSVC] %SystemRoot%\System32\svchost.exe -k netsvcs

[XIUETTBU]

[YWUEBXAQDFGIQ]

**** Custom IE Search Items ****

SEARCH: [searchAssistant] http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchasst.htm

SEARCH: [CustomizeSearch] http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchcust.htm

SEARCH: [searchAssistant] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm

SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm

**** Complete IE Options ****

IEOPT: [NoUpdateCheck]

IEOPT: [NoJITSetup]

IEOPT: [Disable Script Debugger] yes

IEOPT: [show_ChannelBand] No

IEOPT: [Anchor Underline] yes

IEOPT: [Cache_Update_Frequency] Once_Per_Session

IEOPT: [Display Inline Images] yes

IEOPT: [Do404Search]

IEOPT: [Local Page] C:\WINDOWS\System32\blank.htm

IEOPT: [save_Session_History_On_Exit] no

IEOPT: [show_FullURL] no

IEOPT: [show_StatusBar] yes

IEOPT: [show_ToolBar] yes

IEOPT: [show_URLinStatusBar] yes

IEOPT: [show_URLToolBar] yes

IEOPT: [start Page] http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome

IEOPT: [use_DlgBox_Colors] yes

IEOPT: [search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

IEOPT: [FullScreen] no

IEOPT: [Window_Placement] ,

IEOPT: [NotifyDownloadComplete] no

IEOPT: [use FormSuggest] yes

IEOPT: [Error Dlg Displayed On Every Error] no

IEOPT: [AddToFavoritesExpanded]

IEOPT: [AutoSearch]

IEOPT: [Move System Caret] no

IEOPT: [Expand Alt Text] no

IEOPT: [Print_Background] no

IEOPT: [Enable_MyPics_Hoverbar] yes

IEOPT: [show image placeholders]

IEOPT: [Enable AutoImageResize] yes

IEOPT: [Play_Animations] yes

IEOPT: [Play_Background_Sounds] yes

IEOPT: [Display Inline Videos] yes

IEOPT: [FavIntelliMenus] no

IEOPT: [Enable Browser Extensions] yes

IEOPT: [useThemes]

IEOPT: [NoWebJITSetup]

IEOPT: [Friendly http errors] yes

IEOPT: [showGoButton] yes

IEOPT: [Page_Transitions]

IEOPT: [NscSingleExpand]

IEOPT: [Force Offscreen Composition]

IEOPT: [AllowWindowReuse]

IEOPT: [smoothScroll]

IEOPT: [LastCheckedHi] w$Æ s

IEOPT: [use Custom Search URL]

IEOPT: [search Bar] http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchasst.htm

IEOPT: [Check_Associations] yes

IEOPT: [First Home Page] http://www.microsoft.com/isapi/redir.dll?P...ie5update&O1=b1

IEOPT: [Default_Page_URL] http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome

IEOPT: [Default_Search_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

IEOPT: [search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

IEOPT: [Enable_Disk_Cache] yes

IEOPT: [Cache_Percent_of_Disk]

IEOPT: [Delete_Temp_Files_On_Exit] yes

IEOPT: [Local Page] C:\WINDOWS\system32\blank.htm

IEOPT: [Anchor_Visitation_Horizon]

IEOPT: [use_Async_DNS] yes

IEOPT: [Placeholder_Width]

IEOPT: [Placeholder_Height]

IEOPT: [start Page] http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome

IEOPT: [CompanyName] Microsoft Corporation

IEOPT: [Custom_Key] MICROSO

IEOPT: [Wizard_Version] 6.0.2600.0000

IEOPT: [FullScreen] no

IEOPT: [search Bar] http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchasst.htm

IEOPT: []

IEOPT: [Check_Associations] yes

Logfile of HijackThis v1.99.1

Scan saved at 20:19:27, on 31/01/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [siS Tray] C:\WINDOWS\System32\sistray.EXE

O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\System32\khooker.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLHostManager.exe

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKLM\..\Run: [OM_Monitor] C:\Documents and Settings\sandra\Mes documents\FirstStart.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [WebrootDesktopFirewall] C:\Program Files\Webroot\Desktop Firewall\webrootdesktopfirewall.exe -t

O4 - HKLM\..\Run: [Registry Toolkit] C:\Program Files\Registry Toolkit\RegToolkit.exe /scan

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [OM_Monitor] C:\Documents and Settings\sandra\Mes documents\Monitor.exe

O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe

O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe

O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE

O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: Interface Chat Wanadoo - http://chat15.x-echo.com/version4/Applet/wchatsign.cab

O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kav...can_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab

O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1130442705793

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/...ivex/hcImpl.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotion...canner37480.cab

O16 - DPF: {8EC69950-F299-40AC-A004-3BF5176F8F7B} (FlowScan Control) - http://www.checkspy.com/fr/FlowScan.cab

O16 - DPF: {981D847D-2C06-4FB7-A09C-4F0A48601B2C} (DiagSetup Class) - http://techcity.aol.fr/download/img/DiagSetup.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - (no file)

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: EX - ewido networks - (no file)

O23 - Service: NUICP - - (no file)

O23 - Service: QHKHLE - Sonic Solutions - (no file)

O23 - Service: QNLASVFEDGZB - Sonic Solutions - (no file)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: TWZCDN - TuneUp Software GmbH - (no file)

O23 - Service: TYNUE - Unknown owner - C:\DOCUME~1\sandra\LOCALS~1\Temp\TYNUE.exe (file missing)

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

O23 - Service: Webroot Desktop Firewall Data Service (WebrootDesktopFirewallDataService) - Webroot Software, Inc. - C:\Program Files\Webroot\Desktop Firewall\WDFDataService.exe

O23 - Service: Webroot Desktop Firewall (WebrootFirewall) - Unknown owner - C:\Program Files\Webroot\Desktop Firewall\FirewallNTService.exe

O23 - Service: Washer Security Access (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\System32\wwSecure.exe

SCAN DU 25 JANVIER 06 je ne me souviens plus du logiciel qui teste….

?xml version = "1.0"?>

2

<Information Value = "Start Page" Data = "http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"/>'>http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"/>'>http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"/>

<Information Value = "Search Page" Data = "http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"/>'>http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"/>'>http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"/>'>http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"/>

<Information Value = "Search Bar" Data = "http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"/>'>http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchasst.htm"/>'>http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchasst.htm"/>'>http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchasst.htm"/>

<Information Value = "CustomizeSearch" Data = "http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm"/>'>http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchcust.htm"/>

3

</ScanningRegKeys>

</ScanningRegValues>

</SW>

</ScanningRegValuesChanged>

4

<FILE PATH = "Viewpoint Toolbar C:\Program Files

Mark · le 1 février 2006

Bonjour Sandra, et merci pour ces rapports. J'y vois quelques trucs peu courants, qui ont tous été désinstallés. On va faire un peu de ménage, de façon à mieux voir si les symptômes reviennent.

J'aimerais vraiment que tu puisses nous donner les résultats du scan de SpyCop par contre. Voici comment le paramétrer : lorsque tu arrives aux options de scan et que tu as choisi le lecteur C, continue et ne coche pas celles-ci : -Enable Adware scanning, -Enable Fast maintenance scanning, -Password protect program (ces trois-là ne sont pas nécessaires). Clique le bouton "Update Now" afin de faire sa mise à jour. Click "Next" deux fois (saute l'option d'envoyer des rapports par courriel) ; à la prochaine fenêtre, laisse les deux cases cochés, puis click "Finish". Le scan s'amorcera. Ça peut prendre un certain temps (tu verras la loupe qui tourne autour de l'écran - en haut à droite - donc scan en cours). Si des fichiers sont trouvés, note les et poste les résultats s'il te plaît. N'utilise pas la fonction "Rename" tout de suite, si fichiers trouvés.

Pour WAOL.EXE : ce processus peut être associé à un spyware dans certains cas, mais il peut aussi être un processus légitime d'AOL ; étant donné que tu utilises AOL, ça doit être légitime... Si tu peux noter son emplacement, ça nous aiderait.

Je veux te faire passer un autre outil ; le scan devrait être rapide, et cet outil cherche des fichiers de type Rootkits :

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

~~~~~~~~~~~~~~~~~~~~~~

En résumé, j'aimerais voir les rapports de SpyCop et de BlackLight (et l'emplacement de waol.exe si possible). J'aimerais également savoir comment ton ordi est branché à l'internet; as-tu le téléphone et le modem branchés sur la même prise ? As-tu une connection 56K ? Merci

Modifié le 1 février 2006 par Qc001

SANDRA88 · le 1 février 2006

Bonjour Sandra, et merci pour ces rapports. J'y vois quelques trucs peu courants, qui ont tous été désinstallés. On va faire un peu de ménage, de façon à mieux voir si les symptômes reviennent.

J'aimerais vraiment que tu puisses nous donner les résultats du scan de SpyCop par contre. Voici comment le paramétrer : lorsque tu arrives aux options de scan et que tu as choisi le lecteur C, continue et ne coche pas celles-ci : -Enable Adware scanning, -Enable Fast maintenance scanning, -Password protect program (ces trois-là ne sont pas nécessaires). Clique le bouton "Update Now" afin de faire sa mise à jour. Click "Next" deux fois (saute l'option d'envoyer des rapports par courriel) ; à la prochaine fenêtre, laisse les deux cases cochés, puis click "Finish". Le scan s'amorcera. Ça peut prendre un certain temps (tu verras la loupe qui tourne autour de l'écran - en haut à droite - donc scan en cours). Si des fichiers sont trouvés, note les et poste les résultats s'il te plaît. N'utilise pas la fonction "Rename" tout de suite, si fichiers trouvés.

Pour WAOL.EXE : ce processus peut être associé à un spyware dans certains cas, mais il peut aussi être un processus légitime d'AOL ; étant donné que tu utilises AOL, ça doit être légitime... Si tu peux noter son emplacement, ça nous aiderait.

Je veux te faire passer un autre outil ; le scan devrait être rapide, et cet outil cherche des fichiers de type Rootkits :

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

~~~~~~~~~~~~~~~~~~~~~~

En résumé, j'aimerais voir les rapports de SpyCop et de BlackLight (et l'emplacement de waol.exe si possible). J'aimerais également savoir comment ton ordi est branché à l'internet; as-tu le téléphone et le modem branchés sur la même prise ? As-tu une connection 56K ? Merci

Bonjour à tous,

Il est temps que je réponde à la personne qui me demande « les clés » : envoi d’un rapport en ce sens et merci à lui :

ROOTKITREVEAL du 4 juin 2004 (clés)

CWShredder 19 avril 2005 : ci joint le rapport

BLACKLIGHT 31 janvier 2006 : ci joint le rapport.

SPYCOP 31 janvier 2006 : merci pour les précisions qui m’ont permises de faire correctement le scan.

Status : « trial mode scan done. Sone files were skipped ». (comment faire un rapport ?)

« active super stealth mode » : « warning ! » Qu’est ce donc ?

Rien de notifié dans les cases.

TROJAN REMOVER de ce jour : 4 clés toujours repérées mais noms différents, liés peut être au fait que j’ai coché la case « renommer » , lors du scan, il y a quelques jours… (83 pages de rapport…)

TREND MICRO du 31 janvier 2006 : coupure AOL. Essai 2 : coupure AOL.

AOL propose mise à jour et redémarrage de suite…(impossible de faire autre chose, j’accepte)…

Essai 3, AOL ne fonctionne pas, propose encore mise à jour et déconnexion, j’accepte.

Essai 4 avec TREND MICRO , le scan démarre. Signale 2 COOKIES HTTP (pas de noms, 5 quelques jours plus tôt) .

Nettoyage effectué. Par contre, la page devant présenter une action manuelle pour les clés ne s’affichera pas…

Au bout de 2 heures, j’abandonne l’attente.

Un document joint, tapé pour le 25 et 26 janvier 06 : avant éradication, permettrait de mieux cerner les problèmes. (VIOLATION ACCES).

WAOL.EXE 3A88A0A8 : cette fonction m’intrigue. Comme je l’ai déjà dit avant, une fenêtre s’ouvre souvent (dans des moments de scan ou de tentative de nettoyage, par exemple) en me demandant d’insérer un CD dans le lecteur ! Que vient faire ce message ? ? ? ? En fait, il est une entrave à l’avancement de certains processus que j’effectue et cela me laisse perplexe… Pour ces raisons, il est toujours un sérieux problème et je me pose des questions…

Je le trouve dans PREFETCH, en fichier à ouvrir avec ADOBE READER, qui ne s’ouvre pas, puisqu’on signale qu’il est endommagé… Souvent aussi, j’ai une réponse me disant que ce fichier est introuvable (aol.exe).

Je viens de le convertir pour le lire en WORD PAD : rien à lire, des caractères incompréhensibles et beaucoup de carrés… (je trouve cela suspect). Lors de cette conversion, tous les autres fichiers de PREFETCH se retrouvent en même temps sur un mode WORD PAD…

Devrais je le laisser en WORD PAD (avec les autres) compte tenu de « l’endommagement » d’adobe reader ?

Il est aussi dans le programme AOL, normal cela je pense.

La prise de l’ordinateur est sur une multiprise téléphone/PC et non pas deux prises séparées. Connection en 56 K. Egalement, beaucoup de problèmes avec le téléphone, laissant perplexe les techniciens qui ne trouvent rien…Pourtant, ils m’ont signifié avoir découverts une anomalie sur ma ligne, il y a deux ans environ. « Perte…, au niveau de leurs tests » : des numéros n’aboutiraient pas chez moi et atterrissent je ne sais où ! !

(vrai, on me dit que je ne suis pas là, alors que le téléphone ne sonnait pas)

Visite à domicile pour contrôle, à leur demande… : démarche suspecte pour un responsable de France Télecom qui affirme qu’on n’appelle pas les abonnés …

Dernièrement, expliquant mes suspicions de piratage au téléphone, le bruit d’une touche sur laquelle on appuierait se fait entendre : ni moi, ni mon interlocuteur n’avons fait une manipulation (de plus, sur un mot en rapport avec mes dossiers « surveillés ».

Parfois, le son diminue, on ne m’entend plus du tout même. Je dois raccrocher et refaire le numéro.

On me fait savoir que les sons du PC viendraient de la ligne, piratée en quelque sorte (info d’un monsieur dont le travail était justement en rapport avec la surveillance).

En table d’écoute, il ne se passerait aucune de ces anomalies, on me dit que c’est ailleurs qu’il faut chercher…

 moins de bruit dans l’ordinateur (ventilateur).

 Bruit de « mitraillettes » sur certaines pages que je ferme.

 Suis toujours infectée par CLARIA/GAIN/GATOR FILE (scan SOFSPY)

 Toujours 35 viewpoint relevés dans un autre test.

 Disque dur disponibilité de 66 % passée à 27 % en deux mois…

 J’ai les rapports des incidents d’AOL, si çà vous intéresse.

 AOL : quand les mails ont été effacés sur l’ordinateur, j’ai trouvé dans le rapport des problèmes AOL, une ligne stipulant « violation de partage » : pourriez vous me dire si cela signifie bien l’accès et la violation de mes données (cà s’est passé deux fois, au moment de la connection AOL/WEB (ralentissement important de l’accès et pages qui mettent un temps fou à se placer, pages déformées…)

Tu n’as pas lieu de me remercier, c’est à moi de fournir ce que tu me demandes pour m’aider. Ce qui me lassait , c’est d’envoyer des rapports classiques qui ne sont pas en mesure de détecter mes problèmes et qui ne parlent pas. J’en ai eu la preuve et vous me dites avoir vu « des trucs pas courants », pouvez vous développer ceci SVP ?

Comprenez que je suis comme un malade à qui on ne trouve rien, parce qu’il a une maladie orpheline et çà on ne le sait qu’au moment du diagnostic !

Des mois que j’attends (2ans de dysfonctionnements incessants) pour avoir un nom (fait), des explications (merci à vous de m’éclairer sur ce qui pour vous est banal mais impensable pour des gens à qui j’ai confié mes histoires les larmes aux yeux…) J’avais raison, mais il me faudrait arriver à savoir QUI ET POURQUOI (si possible).

Grâce à plusieurs personnes, on avance beaucoup et j’aurais du intervenir plus tôt.

CETTE CONNECTION EST DE NOUVEAU LENTE ET ANORMALE... pour poster mon message.

02/01/06 13:13:07 [info]: BlackLight Engine 1.0.30 initialized

02/01/06 13:13:07 [info]: OS: 5.1 build 2600 (Service Pack 1)

02/01/06 13:13:08 [Note]: 7019 4

02/01/06 13:13:08 [Note]: 7005 0

02/01/06 13:18:39 [Note]: 7006 0

02/01/06 13:18:39 [Note]: 7011 1140

02/01/06 13:18:40 [Note]: FSRAW library version 1.7.1014

02/01/06 13:22:55 [Note]: 7007 0

HKLM\SYSTEM\ControlSet001\Control\MediaProperties\PrivateProperties\Midi\Ports\Mappeur MIDI Microsoft [ 04/06/2004 16:20 0 bytes Key name contains embedded nulls (*)

HKLM\SYSTEM\ControlSet001\Control\MediaProperties\PrivateProperties\Midi\Ports\SynthÚ. SW table de sons GS Mic [ 04/06/2004 16:20 0 bytes Key name contains embedded nulls (*)

HKLM\SYSTEM\ControlSet002\Control\MediaProperties\PrivateProperties\Midi\Ports\Mappeur MIDI Microsoft [ 04/06/2004 16:20 0 bytes Key name contains embedded nulls (*)

HKLM\SYSTEM\ControlSet002\Control\MediaProperties\PrivateProperties\Midi\Ports\SynthÚ. SW table de sons GS Mic [ 04/06/2004 16:20 0 bytes Key name contains embedded nulls (*)

C:\Documents and Settings\All Users\Application Data\AOL\UserProfiles\f5ce5e705ad87cac8cd86771ad02a5edbdef2747\metrics\data\5C2A94F1-655-4EC4-99E5-35AF9CC304B.1136412042.tlv 04/01/2006 23:00 1.75 KB Hidden from Windows API.

TEST CWSHREDDER DU 19 AVRIL 2005

**** Run Keys ****

RUN: [siS Tray] C:\WINDOWS\System32\sistray.EXE

RUN: [siS KHooker] C:\WINDOWS\System32\khooker.exe

RUN: [soundMan] SOUNDMAN.EXE

RUN: [CHotkey] mHotkey.exe

RUN: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

RUN: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

RUN: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

RUN: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"

RUN: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

RUN: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

RUN: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

RUN: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

RUN: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

RUN: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe

RUN: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

RUN: [AOL Spyware Protection] "C:\PROGRA~1\FICHIE~1\AOL\AOLSPY~1\AOLSP Scheduler.exe"

RUN: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

RUN: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

RUN: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

RUN: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

RUN: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0

**** Browser Helper Objects ****

BHO: [AcroIEHlprObj Class] C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

BHO: [] C:\PROGRA~1\SPYBOT~1\SDHelper.dll

**** IE Toolbars ****

TOOLBAR: [AOL Toolbar] C:\Program Files\AOL Toolbar\toolbar.dll

TOOLBAR: [&Radio] C:\WINDOWS\System32\msdxm.ocx

TOOLBAR: [Copernic Agent] C:\Program Files\Copernic Agent\CopernicAgentExt.dll

**** IE Extensions ****

IEExt: []

IEExt: [Run WinHTTrack]

IEExt: [AOL Toolbar]

IEExt: [Copernic Agent] C:\PROGRA~1\COPERN~1\COPERN~1.EXE

IEExt: [Real.com] C:\PROGRA~1\COPERN~1\COPERN~1.EXE