Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

Bonjour,

 

Mon SOS, c'est est un, attend une réponse à un grave probléme récurrent.

Je ne ferai plus de tests, de scans, de rapports : des dizaines depuis des mois, auprés d'amis, d'informaticiens, de forums POUR RIEN.

 

Aprés des galéres sans fin, des nuits blanches totales, une dépression qui me gagne, il semblait impossible de DETECTER QUELQUE CHOSE sur mon PC.

 

Aprés des kilos de feuilles de tests, des dizainesde pages de notes, je viens de trouver il y a deux jours le nom de mon parasite, aprés avoir passé 38 h sans dormir, en restant sur l'ordinateur !!!!!!!!

Quelques jours plus tôt, j'ai passé une nuit sans dormir, à charger des logiciels, sur un forum ou finalement tout a été euthanasié en une journée par ce systeme : POTENTIALLY MASKED FILES KEYL_SE. 71724, classé comme grayware/programme espion chez TEND MICRO, le premier à faire un diagnostic en ligne.

Il est stipulé qu'il n'existe aucune info !!!!

Rien sur le net, sauf quelques pages en anglais sur un site, je ne peux déchiffrer.

 

J'ai trouvé des fichiers, des dizaines d'anomalies et de "signes", nous jouons au chat et à la souris !

C'est inimaginable et incroyable pour celui qui ne le vit pas.

Je suis traumatisée et dorénavant je prends tout en photos et je m'apprête à terminer un dossier pour porter plainte. J'espére qu'il lit cela, car au moment de terminer ma fiche, la connection aol à coupé net, sans entendre les bruits de la coupure (???)

Précédent forum même phénomène et ensuite, impossibilité de revenir sur le site....

 

Je préfére ne plus en parler...

Qui serait suffisamment pro pour me permettre de localiser mon espion ou de me dire comment répondre aux questions en anglais à TROJAN REMOVER qui m'a détecté toutes les failles contaminées (premiere fois) en mode sans échec ?

Lorsque j'arrive dans le systéme 32, une fenêtre me met en garde pour les manip....

 

J'ai déjà cliqué sur OK, pour renommer des dossiers, ayant réussi à traduire le message envoyé.

Hier, sur Tend micro, je finis par arriver (X essais) à "effacer", en apparence le logiciel espion.

Seulement voilé, cet aprés midi en travaillant sur mes photos pour constituer un dossier, j'ai vu une sorte de document bloc note, qui m'a intrigué: je n'avais rien 5 minutes avant...

Puis, plus rien quelques instants aprés.... disparu mais où?

 

Hier, je trouve dans un dossier vide, un autre dossier AVEC PLEIN DE CHIFFRES, j'ouvre et je trouve 3 photos stockées de mon écran , alors qu'il n'y avait rien !!!!!!!

 

Je le mets à la poubelle, je vais voir : pas trouvé.....

 

Je suis novice en informatique mais je pense déduire qu'il stocke et "s'envoie" ensuite ce qui l'intéresse.

Piratage de 3 ans de mails qu'il efface et des données confidentielles probablement dupliquées, des noms, des adresses, des dossiers sensibles...

Je suis contrainte de signaler aux autorités en cas de fuite, afin de me préserver d'ennuis.

 

Je ne formaterai pas de suite : JE VOUDRAIS IDENTIFIER L'auteur !

Il n'est pas certain que le Procureur donne une suite à mon courrier, les recherches se font surtout pour les entreprises.

 

Pouvez vous m'aider en partant sur la base de recherches d'infos sur ce "greyware inconnu" ?

Comment identifier l'auteur , puisqu'il détruit les logiciels en place, les antivirus, les anti spywares et empéche les mises à jour souvent. Une ou deux fois par semaine, je dois réinstaller le tout.

LOOK' n STOP installé, (avec bien des difficultés) suite à conseils, a tenu une journée !!!!

Prés de 2000 bruits en une heure environ ("boot", renvoie tout à mon PC, suite attaque si j'ai bien compris les quelques infos glanées sur "l'aide".

RIEN DANS LES RAPPORTS, je rappelle que seuls TEND MICRO ET TROJAN REMOVER ont identifié précisément les anomalies (clés) et trouvé son nom!

 

Je pense que le probléme ne pourrait se résoudre qu'au téléphone, trop long par écrit et imprécis.

J'ai appliqué 1O00 méthodes, 1000 conseils , en vain : il revient... et mon travail dessus est devenu un enfer : l'imprimante dysfonctionne, chaque jour du nouveau , à petites doses, mais çà bouffe une vie !!!!

Voilà partons SVP des bases de découvertes récentes pour avancer.

 

En espérant un lecteur trés compétent et sûr de lui car il faut tenir compte de tout ce qui a déjà été fait, c'est énorme...

Cordialement et merci par avance au génie qui s'annoncera...l'adversaire est de taille, çà je puis vous le garantir.

Posté(e) (modifié)

Bonjour Sandra88, et soit la bienvenue sur Zeb' Sécurité :P

 

Ok ; une petite recherche sur ce fichier me donne un résultat possible : Perfect Keylogger. Ce n'est qu'une piste, à ce stade-ci. Tu parles de plusieurs scans effectués, donc j'en déduis que tu as visité d'autres forums de sécurité. Si c'est le cas, on t'a probablement fait scanner avec des programmes tels HijackThis!, RootkitRevealer, Ewido, Spy Sweeper, Silent Runners, et autres... Tous d'excellents programmes, conçus pour détecter une multitude de bestioles "grande diffusion", qui infectent plus de 70% des ordinateurs de type PC. Lorsqu'il s'agit d'un logiciel dit "espion" et "légal" comme Perfect Keylogger, là, c'est moins évident. Moins évident car ces programmes sont distribués commercialement, dans le but de faire de la "surveillance", et sont généralement très sophistiqués et bien cachés. Les gens doivent payer pour se les procurer, donc le fabricant doit pouvoir garantir une certaine efficacité, c'est-à-dire une invisibilité. Si un simple logiciel gratuit anti-spyware tel SpyBot ou Ad-Aware pouvait les détecter, ils ne seraient pas pris au sérieux par les futurs acheteurs.

 

Ceci dit, nous voyons très rarement des "infections" de ce genre sur les forums, car la grande force de ces programmes est de ne pas éveiller le doute chez l'utilisateur "surveillé" donc, idéalement, c'est l'invisibilité parfaite. Mais rien n'est parfait !

 

Je te propose donc, oui, un autre scan... avec un programme très peu utilisé sur les forums, car conçu spécialement pour la détection de tels programmes. Il se nomme SpyCop. SpyCop offre une version d'essai, gratuite, qui offre moins de puissance de détection que la version payante, mais qui pourrait nous signaler la présence d'un logiciel espion tel Perfect Keylogger ou Spector (les deux mieux connus de cette catégorie). Disponible de ce lien :

 

http://spycop.com/spycop-free-product.htm

 

...clique sur le bouton "Download". Si je me souviens bien, le programme te dira qu'il effectue un test de compatibilité (terme qu'ils emploient - je ne sais trop pourquoi). Si le programme trouve une trace d'un keylogger commercial, tu vas en être avisée. Si SpyCop ne trouve rien, on pourra essayer un autre petit programme de la compagnie F-Secure (bien connue dans le domaine des antivirus), qui se nomme BlackLight. On verra...

 

Libre à toi de poster les résultats ici, ou non.

 

Le formatage demeure la solution la plus efficace dans de telles situations ; si tu veux identifier le coupable, alors il faut fouiller encore un peu.

Modifié par Qc001
Posté(e)
RIEN DANS LES RAPPORTS, je rappelle que seuls TEND MICRO ET TROJAN REMOVER ont identifié précisément les anomalies (clés) et trouvé son nom!

Salut,

 

si tu nous donnais ces clés dans le registre !

ca pourrait faire avancé le sujet

Posté(e)

Bonjour SANDRA88, Qc001, tesgaz, bonjour à tous,

 

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

Je suis très intéressé par ton problème et je vais essayer de suivre ce qui est demandé par Qc001 et tesgaz... et j'espère participer autant que je le peux !

Posté(e)

Bonjour SANDRA88, Qc001, tesgaz, bonjour à tous,

 

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

Je suis très intéressé par ton problème et je vais essayer de suivre ce qui est demandé par Qc001 et tesgaz... et j'espère participer autant que je le peux !

 

 

 

Bonjour à tous, et merci pour votre mobilisation.

 

Beaucoup à dire…

 

1 mode sans échec de spywar, evido rien

Hitjacthis, voir rapport joint

Rootkit revealer me dit : « unable to install rootkit service : une opération d’entrée/sortie avec chevauchement est en cours d’utilisation ».

Nettoyé avec Cleaner. Je n’ose pas virer ce qu’il met dans « les erreurs », il y des clés renommées en mode sans échec (j’ai cliqué pour ce choix) , lors d’un scan de trojan remover (à tort ou à raison…). Viré (en stressant) le programme VIEWPOINT EXPERIENCE TECHNOLOGY , un scan me signalait 44 lignes sur ce programme en parlant de toolbar…. Alors, tant pis, j’ai viré …

 

2 mode normal, hors connexion web, scan de registrit toolkit : 173 points relevés (en anglais, pas facile de piger tout) Pour nettoyer…, il faut l’acheter.

Trend micro CWShredder : pas de COOLWEBSEARCH détecté…. Mais il est signalé sur le web que AOL.EXE est sa variante…..

Rapport scan joint

Je précise qu’hier le deuxiéme test avec TEND MICRO en ligne , ne mentionne plus KEYL SE 71724….(lire avant). Il en serait venu à bout ? ? ? Une fenêtre s’ouvre : « WAOL. EXE PAS DE DISQUE : il n’y a pas de disque dans le lecteur. Insérez un disque dans le lecteur » ( ? ? ? ? ? ? ? ? ? ? ? ?). Le scan de Tend bloque à cause de la fenêtre que je n’arrive pas à fermer et mes réponses aux trois possibles (annuler, recommencer…) bloque aussi. A force d’insister, je réussis progressivement à faire avancer le scan en cours.

Ouf ! Ca vaut le coup : KEYL disparu…. Et 5 COOKIES HTTP SIGNALES :

Cookie_SE. 54805 IDEM 52797 IDEM 61 IDEM 77206 IDEM 50506.

Je tente le nettoyage. De nouveau, même fenêtre « WAOL. EXE » et même texte…

Je ne viendrai pas à bout de la fenêtre et le nettoyage ne se fera pas.

 

3 Durant « l’expérience », à deux reprises, deux inspirations fortes suivies de « hum » « hum » (phénomène récurrent comme quelqu’un qui respire le parfum d’une fleur ). Je constate que le scan s’interrompt au moment de ces bruits….Chaque fois, que je fais une opération de recherches sur le rootkit, j'ai droit à cela, comme une façon de prouver « qu’il est là, qu’il voit… » Cela use mes nerfs.

 

4 Je cherche dans le disque les WAOL. EXE : des lignes suspectes à mon sens, dont un renvoi dans windows, dossier « perfect », 160 lignes constituant les noms de tous mes logiciels utilisés nuit et jour !

Curieusement, une fois de plus, en visualisant ces Waol, COUPURE AOL et comme chaque fois en silence… (normalement, j’entends le bruit de la ligne téléphonique).

La veille, tentative de connection sur votre forum, inscription et COUPURE au moment où je clique pour terminer ma fiche et arriver au forum. De nouveau, pas de bruit habituel de ligne téléphonique au moment de cette coupure. J’aimerais comprendre pourquoi .

Dans la journée, dans un dossier photos, je vois un ficher genre bloc note qui figure à côté des icônes de photos…Ce n’est pas moi qui l’ai placé là. Quelque minutes plus tard, plus rien, je pense qu’en l’ouvrant il aurait été vide (comme souvent).

Auparavant, un scan PANDA n’a pas pu aboutir, à cause de la même fenêtre…..

Durant le temps où cette fenêtre est là, je vois dans la barre bleue en bas de l’écran « téléchargement »…

Je me demande si cela vient de tend micro (il scanne pour nettoyage) ou si c’est mon espion qui s’expédie son stock de détournements d’infos ! ! ! ! !

Puis, je vois « téléchargement de l’image », alors là, qu’en pensez vous ? ? ? ? Il s’approprie les photos d’écran des anomalies et de tous les scans ? ? ? ?

 

5 La veille, un dossier vide normalement, laisse apparaître un dossier avec tout une suite de chiffres, en guise de nom. J’ouvre, je trouve des photos de l’écran de l’ordinateur, servant à constituer mon dossier, si je porte plainte.

Qui peut me dire pourquoi ce « détournement », si ce n’est que quelqu’un compte « se l’expédier » en suite ?

 

6 AOL signale « une erreur est survenue et aol doit être fermé », ensuite me propose une « mise à jour », ou similaire et me dit qu’il doit redémarrer maintenant…

Est ce vraiment aol, et je trouve des similitudes avec des incidents et mes effacements de mails archivés et derniérement les favoris…

 

7 une autre tentative sur TEND MICRO pour nettoyer les anomalies trouvées échoue, avec une coupure d’aol.

 

8 SPYCOP chargé mais en anglais. Il faudrait d’abord quelle case cocher dans les pages défilantes ?

Ensuite, comment paramétrer les options du scan

Il stipule : « trial mode scan done. Somes files were skipped »

Au milieu des deux cadres jaunes, stipulé « suspicious files double click for more information or to renave »

Inspiration, respiration encore en direct…

J’ai peur d’une coupure, j’envoie mon message

 

 

Bonjour à tous, et merci pour votre mobilisation.

 

Beaucoup à dire…

 

1 mode sans échec de spywar, evido rien

Hitjacthis, voir rapport joint

Rootkit revealer me dit : « unable to install rootkit service : une opération d’entrée/sortie avec chevauchement est en cours d’utilisation ».

Nettoyé avec Cleaner. Je n’ose pas virer ce qu’il met dans « les erreurs », il y des clés renommées en mode sans échec (j’ai cliqué pour ce choix) , lors d’un scan de trojan remover (à tort ou à raison…). Viré (en stressant) le programme VIEWPOINT EXPERIENCE TECHNOLOGY , un scan me signalait 44 lignes sur ce programme en parlant de toolbar…. Alors, tant pis, j’ai viré …

 

2 mode normal, hors connexion web, scan de registrit toolkit : 173 points relevés (en anglais, pas facile de piger tout) Pour nettoyer…, il faut l’acheter.

Trend micro CWShredder : pas de COOLWEBSEARCH détecté…. Mais il est signalé sur le web que AOL.EXE est sa variante…..

Rapport scan joint

Je précise qu’hier le deuxiéme test avec TEND MICRO en ligne , ne mentionne plus KEYL SE 71724….(lire avant). Il en serait venu à bout ? ? ? Une fenêtre s’ouvre : « WAOL. EXE PAS DE DISQUE : il n’y a pas de disque dans le lecteur. Insérez un disque dans le lecteur » ( ? ? ? ? ? ? ? ? ? ? ? ?). Le scan de Tend bloque à cause de la fenêtre que je n’arrive pas à fermer et mes réponses aux trois possibles (annuler, recommencer…) bloque aussi. A force d’insister, je réussis progressivement à faire avancer le scan en cours.

Ouf ! Ca vaut le coup : KEYL disparu…. Et 5 COOKIES HTTP SIGNALES :

Cookie_SE. 54805 IDEM 52797 IDEM 61 IDEM 77206 IDEM 50506.

Je tente le nettoyage. De nouveau, même fenêtre « WAOL. EXE » et même texte…

Je ne viendrai pas à bout de la fenêtre et le nettoyage ne se fera pas.

 

3 Durant « l’expérience », à deux reprises, deux inspirations fortes suivies de « hum » « hum » (phénomène récurrent comme quelqu’un qui respire le parfum d’une fleur ). Je constate que le scan s’interrompt au moment de ces bruits….Chaque fois, que je fais une opération de recherches sur le rootkit, j'ai droit à cela, comme une façon de prouver « qu’il est là, qu’il voit… » Cela use mes nerfs.

 

4 Je cherche dans le disque les WAOL. EXE : des lignes suspectes à mon sens, dont un renvoi dans windows, dossier « perfect », 160 lignes constituant les noms de tous mes logiciels utilisés nuit et jour !

Curieusement, une fois de plus, en visualisant ces Waol, COUPURE AOL et comme chaque fois en silence… (normalement, j’entends le bruit de la ligne téléphonique).

La veille, tentative de connection sur votre forum, inscription et COUPURE au moment où je clique pour terminer ma fiche et arriver au forum. De nouveau, pas de bruit habituel de ligne téléphonique au moment de cette coupure. J’aimerais comprendre pourquoi .

Dans la journée, dans un dossier photos, je vois un ficher genre bloc note qui figure à côté des icônes de photos…Ce n’est pas moi qui l’ai placé là. Quelque minutes plus tard, plus rien, je pense qu’en l’ouvrant il aurait été vide (comme souvent).

Auparavant, un scan PANDA n’a pas pu aboutir, à cause de la même fenêtre…..

Durant le temps où cette fenêtre est là, je vois dans la barre bleue en bas de l’écran « téléchargement »…

Je me demande si cela vient de tend micro (il scanne pour nettoyage) ou si c’est mon espion qui s’expédie son stock de détournements d’infos ! ! ! ! !

Puis, je vois « téléchargement de l’image », alors là, qu’en pensez vous ? ? ? ? Il s’approprie les photos d’écran des anomalies et de tous les scans ? ? ? ?

 

5 La veille, un dossier vide normalement, laisse apparaître un dossier avec tout une suite de chiffres, en guise de nom. J’ouvre, je trouve des photos de l’écran de l’ordinateur, servant à constituer mon dossier, si je porte plainte.

Qui peut me dire pourquoi ce « détournement », si ce n’est que quelqu’un compte « se l’expédier » en suite ?

 

6 AOL signale « une erreur est survenue et aol doit être fermé », ensuite me propose une « mise à jour », ou similaire et me dit qu’il doit redémarrer maintenant…

Est ce vraiment aol, et je trouve des similitudes avec des incidents et mes effacements de mails archivés et derniérement les favoris…

 

7 une autre tentative sur TEND MICRO pour nettoyer les anomalies trouvées échoue, avec une coupure d’aol.

 

8 SPYCOP chargé mais en anglais. Il faudrait d’abord quelle case cocher dans les pages défilantes ?

Ensuite, comment paramétrer les options du scan

Il stipule : « trial mode scan done. Somes files were skipped »

Au milieu des deux cadres jaunes, stipulé « suspicious files double click for more information or to renave »

Inspiration, respiration encore en direct…

J’ai peur d’une coupure, j’envoie mon message

 

Scan CWSHREDDER «31 janv 06

 

**** Run Keys ****

 

RUN: [siS Tray] C:\WINDOWS\System32\sistray.EXE

RUN: [siS KHooker] C:\WINDOWS\System32\khooker.exe

RUN: [soundMan] SOUNDMAN.EXE

RUN: [CHotkey] mHotkey.exe

RUN: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

RUN: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

RUN: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

RUN: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

RUN: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

RUN: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

RUN: [HostManager] C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLHostManager.exe

RUN: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

RUN: [OM_Monitor] C:\Documents and Settings\sandra\Mes documents\FirstStart.exe

RUN: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

RUN: [WebrootDesktopFirewall] C:\Program Files\Webroot\Desktop Firewall\webrootdesktopfirewall.exe -t

RUN: [Registry Toolkit] C:\Program Files\Registry Toolkit\RegToolkit.exe /scan

RUN: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

RUN: [OM_Monitor] C:\Documents and Settings\sandra\Mes documents\Monitor.exe

RUN: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe

 

 

**** Browser Helper Objects ****

 

BHO: [AcroIEHlprObj Class] C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

 

 

**** IE Toolbars ****

 

TOOLBAR: [AOL Toolbar] C:\Program Files\AOL Toolbar\toolbar.dll

TOOLBAR: [&Radio] C:\WINDOWS\System32\msdxm.ocx

 

 

**** IE Extensions ****

 

IEExt: []

IEExt: [Web Browser Applet Control] C:\WINDOWS\System32\msjava.dll

IEExt: [AOL Toolbar] C:\WINDOWS\System32\msjava.dll

IEExt: [Real.com] C:\WINDOWS\System32\msjava.dll

IEExt: [Messenger] C:\Program Files\Messenger\MSMSGS.EXE

 

 

**** Hosts File Entries ****

 

HOSTS: 127.0.0.1 localhost

 

 

**** IE Settings ****

 

Default Page: http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome

Default Search: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Local Page: C:\WINDOWS\System32\blank.htm

Search Bar: http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchasst.htm

Search Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

 

 

**** IE Context Menu (Right click) ****

 

IEContext: [&Recherche AOL Toolbar] res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

 

 

**** Layered Service Providers ****

 

LSP: MSAFD Tcpip [TCP/IP]

LSP: MSAFD Tcpip [uDP/IP]

LSP: RSVP UDP Service Provider

LSP: RSVP TCP Service Provider

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{43881E61-3251-49BF-8909-BAD8D858A309}] SEQPACKET 0

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{43881E61-3251-49BF-8909-BAD8D858A309}] DATAGRAM 0

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{52CC62D2-16A5-4A28-BBB2-02371DF5FB65}] SEQPACKET 1

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{52CC62D2-16A5-4A28-BBB2-02371DF5FB65}] DATAGRAM 1

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{25690A4F-9A8B-4C0B-8497-3EA802FB0485}] SEQPACKET 2

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{25690A4F-9A8B-4C0B-8497-3EA802FB0485}] DATAGRAM 2

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E42B4CAF-32B4-47AD-9E8B-B844F4F52432}] SEQPACKET 3

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E42B4CAF-32B4-47AD-9E8B-B844F4F52432}] DATAGRAM 3

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2EBDA082-8FA9-43A4-BC1F-B5FFDCE7CDCE}] SEQPACKET 4

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2EBDA082-8FA9-43A4-BC1F-B5FFDCE7CDCE}] DATAGRAM 4

 

 

**** Blocked Control Panel Items ****

 

BLOCKED: [ncpa.cpl] No

BLOCKED: [odbccp32.cpl] No

 

 

**** Downloaded Program Files ****

 

DirectAnimation Java Classes [file://C:\WINDOWS\Java\classes\dajava.cab]

Interface Chat Wanadoo [http://chat15.x-echo.com/version4/Applet/wchatsign.cab]

Microsoft XML Parser for Java [file://C:\WINDOWS\Java\classes\xmldso.cab]

ppctlcab [http://www.pestscan.com/scanner/ppctlcab.cab] C:\WINDOWS\Downloaded Program Files\ppctl.dll

{0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} [http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab]

{17492023-C23A-453E-A040-C7C580BBF700} [http://go.microsoft.com/fwlink/?linkid=39204] C:\WINDOWS\System32\LegitCheckControl.DLL

{2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} [http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab] C:\WINDOWS\Downloaded Program Files\navapi32.dll C:\WINDOWS\Downloaded Program Files\avsniffdlgs.dll C:\WINDOWS\Downloaded Program Files\avsniff.dll

{2FC9A21E-2069-4E47-8235-36318989DB13} [http://www.pestscan.com/scanner/axscanner.cab]

{33564D57-0000-0010-8000-00AA00389B71} [http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB]

{4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} [http://aolcc.aol.fr/computercheckup/qdiagcc.cab] C:\WINDOWS\System32\DLPT.VXD C:\WINDOWS\System32\DDMI2.sys C:\WINDOWS\System32\qdiagcc.ocx C:\WINDOWS\System32\DAntivirus.cfg

{56393399-041A-4650-94C7-13DFCB1F4665} [http://www.my-etrust.com/Support/PestScanner/pestscan.cab]

{6414512B-B978-451D-A0D8-FCFDF33E833C} [http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130442705793]

{644E432F-49D3-41A1-8DD5-E099162EEEC5} [http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab]

{6E5A37BF-FD42-463A-877C-4EB7002E68AE} [http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab]

{74D05D43-3236-11D4-BDCD-00C04F9A3B61} [http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab]

{7F8C8173-AD80-4807-AA75-5672F22B4582} [http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37480.cab]

{8AD9C840-044E-11D1-B3E9-00805F499D93} [http://java.sun.com/products/plugin/autodl/jinstall-1_4_2-windows-i586.cab]

{8EC69950-F299-40AC-A004-3BF5176F8F7B} [http://www.checkspy.com/fr/FlowScan.cab]

{981D847D-2C06-4FB7-A09C-4F0A48601B2C} [http://techcity.aol.fr/download/img/DiagSetup.cab]

{9A9307A0-7DA4-4DAF-B042-5009F29E09E1} [http://acs.pandasoftware.com/activescan/as5free/asinst.cab]

{B38870E4-7ECB-40DA-8C6A-595F0A5519FF} [http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab]

{CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} [http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab]

 

 

**** Windows Services ****

 

[Alerter] %SystemRoot%\System32\svchost.exe -k LocalService

[ALG] %SystemRoot%\System32\alg.exe

[AOL ACS] C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

[AOLService]

[AppMgmt] %SystemRoot%\system32\svchost.exe -k netsvcs

[aswUpdSv] "C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"

[AudioSrv] %SystemRoot%\System32\svchost.exe -k netsvcs

[avast! Antivirus] "C:\Program Files\Alwil Software\Avast4\ashServ.exe"

[avast! Mail Scanner] "C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service

[avast! Web Scanner] "C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service

[bITS] %SystemRoot%\System32\svchost.exe -k netsvcs

[browser] %SystemRoot%\System32\svchost.exe -k netsvcs

[bUQDYWQ]

[CiSvc] %SystemRoot%\system32\cisvc.exe

[ClipSrv] %SystemRoot%\system32\clipsrv.exe

[COMSysApp] C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}

[CryptSvc] %SystemRoot%\system32\svchost.exe -k netsvcs

[Dhcp] %SystemRoot%\System32\svchost.exe -k netsvcs

[DLHUA]

[dmadmin] %SystemRoot%\System32\dmadmin.exe /com

[dmserver] %SystemRoot%\System32\svchost.exe -k netsvcs

[Dnscache] %SystemRoot%\System32\svchost.exe -k NetworkService

[DRA]

[ERSvc] %SystemRoot%\System32\svchost.exe -k netsvcs

[Eventlog] %SystemRoot%\system32\services.exe

[EventSystem] C:\WINDOWS\System32\svchost.exe -k netsvcs

[ewido security suite control] C:\Program Files\ewido anti-malware\ewidoctrl.exe

[EX]

[FastUserSwitchingCompatibility] %SystemRoot%\System32\svchost.exe -k netsvcs

[FWUJDJXPHMW]

[GBTKWNZAO]

[helpsvc] %SystemRoot%\System32\svchost.exe -k netsvcs

[HidServ] %SystemRoot%\System32\svchost.exe -k netsvcs

[HPMUOJOOY]

[HVERKLBUQ] C:\DOCUME~1\sandra\LOCALS~1\Temp\HVERKLBUQ.exe

[iCTCVQZJMJZLRCC]

[imapiService] C:\WINDOWS\System32\imapi.exe

[lanmanserver] %SystemRoot%\System32\svchost.exe -k netsvcs

[lanmanworkstation] %SystemRoot%\System32\svchost.exe -k netsvcs

[LmHosts] %SystemRoot%\System32\svchost.exe -k LocalService

[Messenger] %SystemRoot%\System32\svchost.exe -k netsvcs

[MLAVBV]

[mnmsrvc] C:\WINDOWS\System32\mnmsrvc.exe

[MSDTC] C:\WINDOWS\System32\msdtc.exe

[MSIServer] C:\WINDOWS\System32\msiexec.exe /V

[NetDDE] %SystemRoot%\system32\netdde.exe

[NetDDEdsdm] %SystemRoot%\system32\netdde.exe

[Netlogon] %SystemRoot%\System32\lsass.exe

[Netman] %SystemRoot%\System32\svchost.exe -k netsvcs

[Nla] %SystemRoot%\System32\svchost.exe -k netsvcs

[NtLmSsp] %SystemRoot%\System32\lsass.exe

[NtmsSvc] %SystemRoot%\system32\svchost.exe -k netsvcs

[NUICP]

[OLXERHPG] C:\DOCUME~1\sandra\LOCALS~1\Temp\OLXERHPG.exe

[PlugPlay] %SystemRoot%\system32\services.exe

[PolicyAgent] %SystemRoot%\System32\lsass.exe

[ProtectedStorage] %SystemRoot%\system32\lsass.exe

[QHKHLE]

[QNLASVFEDGZB]

[RasAuto] %SystemRoot%\System32\svchost.exe -k netsvcs

[RasMan] %SystemRoot%\System32\svchost.exe -k netsvcs

[RDSessMgr] C:\WINDOWS\system32\sessmgr.exe

[RemoteAccess] %SystemRoot%\System32\svchost.exe -k netsvcs

[RpcLocator] %SystemRoot%\System32\locator.exe

[RpcSs] %SystemRoot%\system32\svchost -k rpcss

[RSVP] %SystemRoot%\System32\rsvp.exe

[samSs] %SystemRoot%\system32\lsass.exe

[sCardDrv] %SystemRoot%\System32\SCardSvr.exe

[sCardSvr] %SystemRoot%\System32\SCardSvr.exe

[schedule] %SystemRoot%\System32\svchost.exe -k netsvcs

[seclogon] %SystemRoot%\System32\svchost.exe -k netsvcs

[sENS] %SystemRoot%\system32\svchost.exe -k netsvcs

[sharedAccess] %SystemRoot%\System32\svchost.exe -k netsvcs

[shellHWDetection] %SystemRoot%\System32\svchost.exe -k netsvcs

[sLService] slserv.exe

[spooler] %SystemRoot%\system32\spoolsv.exe

[srservice] %SystemRoot%\System32\svchost.exe -k netsvcs

[sSDPSRV] %SystemRoot%\System32\svchost.exe -k LocalService

[stisvc] %SystemRoot%\System32\svchost.exe -k imgsvc

[svcWRSSSDK] C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

[swPrv] C:\WINDOWS\System32\dllhost.exe /Processid:{19BC5DA9-6015-474F-886C-A1E69ABBA835}

[sysmonLog] %SystemRoot%\system32\smlogsvc.exe

[TapiSrv] %SystemRoot%\System32\svchost.exe -k netsvcs

[TermService] %SystemRoot%\System32\svchost.exe -k netsvcs

[Themes] %SystemRoot%\System32\svchost.exe -k netsvcs

[TrkWks] %SystemRoot%\system32\svchost.exe -k netsvcs

[TUWinStylerThemeSvc] "C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe"

[TWZCDN]

[TYNUE] C:\DOCUME~1\sandra\LOCALS~1\Temp\TYNUE.exe

[uMWdf] C:\WINDOWS\System32\wdfmgr.exe

[uploadmgr] %SystemRoot%\System32\svchost.exe -k netsvcs

[upnphost] %SystemRoot%\System32\svchost.exe -k LocalService

[uPS] %SystemRoot%\System32\ups.exe

[uWAWCA]

[VSS] %SystemRoot%\System32\vssvc.exe

[W32Time] %SystemRoot%\System32\svchost.exe -k netsvcs

[WANMiniportService] "C:\WINDOWS\wanmpsvc.exe"

[WebClient] %SystemRoot%\System32\svchost.exe -k LocalService

[WebrootDesktopFirewallDataService] C:\Program Files\Webroot\Desktop Firewall\WDFDataService.exe

[WebrootFirewall] C:\Program Files\Webroot\Desktop Firewall\FirewallNTService.exe

[winmgmt] %systemroot%\system32\svchost.exe -k netsvcs

[WmdmPmSN] %SystemRoot%\System32\svchost.exe -k netsvcs

[WmiApSrv] C:\WINDOWS\System32\wbem\wmiapsrv.exe

[WT]

[wuauserv] %systemroot%\system32\svchost.exe -k netsvcs

[WUKPHH]

[wwSecSvc] C:\WINDOWS\System32\wwSecure.exe

[WZCSVC] %SystemRoot%\System32\svchost.exe -k netsvcs

[XIUETTBU]

[YWUEBXAQDFGIQ]

 

 

**** Custom IE Search Items ****

 

SEARCH: [searchAssistant] http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchasst.htm

SEARCH: [CustomizeSearch] http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchcust.htm

SEARCH: [searchAssistant] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm

SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm

 

 

**** Complete IE Options ****

 

IEOPT: [NoUpdateCheck]

IEOPT: [NoJITSetup]

IEOPT: [Disable Script Debugger] yes

IEOPT: [show_ChannelBand] No

IEOPT: [Anchor Underline] yes

IEOPT: [Cache_Update_Frequency] Once_Per_Session

IEOPT: [Display Inline Images] yes

IEOPT: [Do404Search]

IEOPT: [Local Page] C:\WINDOWS\System32\blank.htm

IEOPT: [save_Session_History_On_Exit] no

IEOPT: [show_FullURL] no

IEOPT: [show_StatusBar] yes

IEOPT: [show_ToolBar] yes

IEOPT: [show_URLinStatusBar] yes

IEOPT: [show_URLToolBar] yes

IEOPT: [start Page] http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome

IEOPT: [use_DlgBox_Colors] yes

IEOPT: [search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

IEOPT: [FullScreen] no

IEOPT: [Window_Placement] ,

IEOPT: [NotifyDownloadComplete] no

IEOPT: [use FormSuggest] yes

IEOPT: [Error Dlg Displayed On Every Error] no

IEOPT: [AddToFavoritesExpanded]

IEOPT: [AutoSearch]

IEOPT: [Move System Caret] no

IEOPT: [Expand Alt Text] no

IEOPT: [Print_Background] no

IEOPT: [Enable_MyPics_Hoverbar] yes

IEOPT: [show image placeholders]

IEOPT: [Enable AutoImageResize] yes

IEOPT: [Play_Animations] yes

IEOPT: [Play_Background_Sounds] yes

IEOPT: [Display Inline Videos] yes

IEOPT: [FavIntelliMenus] no

IEOPT: [Enable Browser Extensions] yes

IEOPT: [useThemes]

IEOPT: [NoWebJITSetup]

IEOPT: [Friendly http errors] yes

IEOPT: [showGoButton] yes

IEOPT: [Page_Transitions]

IEOPT: [NscSingleExpand]

IEOPT: [Force Offscreen Composition]

IEOPT: [AllowWindowReuse]

IEOPT: [smoothScroll]

IEOPT: [LastCheckedHi] w$Æ s

IEOPT: [use Custom Search URL]

IEOPT: [search Bar] http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchasst.htm

IEOPT: [Check_Associations] yes

IEOPT: [First Home Page] http://www.microsoft.com/isapi/redir.dll?P...ie5update&O1=b1

IEOPT: [Default_Page_URL] http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome

IEOPT: [Default_Search_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

IEOPT: [search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

IEOPT: [Enable_Disk_Cache] yes

IEOPT: [Cache_Percent_of_Disk]

IEOPT: [Delete_Temp_Files_On_Exit] yes

IEOPT: [Local Page] C:\WINDOWS\system32\blank.htm

IEOPT: [Anchor_Visitation_Horizon]

IEOPT: [use_Async_DNS] yes

IEOPT: [Placeholder_Width]

IEOPT: [Placeholder_Height]

IEOPT: [start Page] http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome

IEOPT: [CompanyName] Microsoft Corporation

IEOPT: [Custom_Key] MICROSO

IEOPT: [Wizard_Version] 6.0.2600.0000

IEOPT: [FullScreen] no

IEOPT: [search Bar] http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchasst.htm

IEOPT: []

IEOPT: [Check_Associations] yes

 

Logfile of HijackThis v1.99.1

Scan saved at 20:19:27, on 31/01/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [siS Tray] C:\WINDOWS\System32\sistray.EXE

O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\System32\khooker.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLHostManager.exe

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKLM\..\Run: [OM_Monitor] C:\Documents and Settings\sandra\Mes documents\FirstStart.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [WebrootDesktopFirewall] C:\Program Files\Webroot\Desktop Firewall\webrootdesktopfirewall.exe -t

O4 - HKLM\..\Run: [Registry Toolkit] C:\Program Files\Registry Toolkit\RegToolkit.exe /scan

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [OM_Monitor] C:\Documents and Settings\sandra\Mes documents\Monitor.exe

O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe

O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe

O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE

O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: Interface Chat Wanadoo - http://chat15.x-echo.com/version4/Applet/wchatsign.cab

O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kav...can_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab

O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1130442705793

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/...ivex/hcImpl.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotion...canner37480.cab

O16 - DPF: {8EC69950-F299-40AC-A004-3BF5176F8F7B} (FlowScan Control) - http://www.checkspy.com/fr/FlowScan.cab

O16 - DPF: {981D847D-2C06-4FB7-A09C-4F0A48601B2C} (DiagSetup Class) - http://techcity.aol.fr/download/img/DiagSetup.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - (no file)

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: EX - ewido networks - (no file)

O23 - Service: NUICP - - (no file)

O23 - Service: QHKHLE - Sonic Solutions - (no file)

O23 - Service: QNLASVFEDGZB - Sonic Solutions - (no file)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: TWZCDN - TuneUp Software GmbH - (no file)

O23 - Service: TYNUE - Unknown owner - C:\DOCUME~1\sandra\LOCALS~1\Temp\TYNUE.exe (file missing)

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

O23 - Service: Webroot Desktop Firewall Data Service (WebrootDesktopFirewallDataService) - Webroot Software, Inc. - C:\Program Files\Webroot\Desktop Firewall\WDFDataService.exe

O23 - Service: Webroot Desktop Firewall (WebrootFirewall) - Unknown owner - C:\Program Files\Webroot\Desktop Firewall\FirewallNTService.exe

O23 - Service: Washer Security Access (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\System32\wwSecure.exe

SCAN DU 25 JANVIER 06 je ne me souviens plus du logiciel qui teste….

 

?xml version = "1.0"?>

<Session START = "25 Jan 06 20:47:08" END = "25 Jan 06 20:47:08">

<Information Version = "4.21" DatabaseVersion = "140" DataBaseDate = "5 JAN 2006"/>

<Information OS = "Win XP"/>

<Information ServicePack = "Service Pack 1"/>

<Information WorkingDirectory = "C:\Program Files\XoftSpy\"/>

<Information Option = "AdvSpyware Scan" State = "ON"/>

<Information Option = "Scan IE Favorites" State = "ON"/>

<Information Option = "Scan Host Files" State = "ON"/>

<Information Option = "Scan Drives" State = "ON"/>

<Information Option = "Do Not Scan Executables" State = "OFF"/>

<Information Option = "Scan Registry" State = "ON"/>

<Information Option = "Scan Active Processes" State = "ON"/>

<Information Option = "Automatic Database Update" State = "ON"/>

<Information Option = "Automatic Program Update" State = "ON"/>

<Information Option = "Automatic Removal" State = "OFF"/>

<Information Option = "Exit When Finished" State = "OFF"/>

<Information RootKey = "HKEY_CURRENT_USER" KeyPath = "Software\Microsoft\Windows\CurrentVersion\Run"/>

<Information Value = "CTFMON.EXE" Data = "C:\WINDOWS\System32\ctfmon.exe" MD5 = "2c856908ee61424238772508e9fbcbc8" Path = ""/>

<Information Value = "OM_Monitor" Data = "C:\Documents and Settings\sandra\Mes documents\Monitor.exe" MD5 = "d7d30d6be7503fee1938bd395e8f586d" Path = ""/>

<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "Software\Microsoft\Windows\CurrentVersion\Run"/>

<Information Value = "SiS Tray" Data = "C:\WINDOWS\System32\sistray.EXE" MD5 = "8d30cba10f1ebd4a871ecb5fb01da064" Path = ""/>

<Information Value = "SiS KHooker" Data = "C:\WINDOWS\System32\khooker.exe" MD5 = "72be43d079aa46a7c8eb1f0e114df3b0" Path = ""/>

<Information Value = "SoundMan" Data = "SOUNDMAN.EXE" MD5 = "f9bfdff7e19127ca836338f4c9236d79" Path = "C:\WINDOWS\SOUNDMAN.EXE"/>

<Information Value = "CHotkey" Data = "mHotkey.exe"/>

<Information Value = "RealTray" Data = "C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER" MD5 = "ea9d3466ac7a7f62d386937df9cb8c41" Path = ""/>

<Information Value = "AdaptecDirectCD" Data = "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" MD5 = "a158baf602e9b5cc38ab631065554638" Path = ""/>

<Information Value = "AOLSAV" Data = "C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe" MD5 = "6f558931e00ba40e26d5262de570da36" Path = ""/>

<Information Value = "AOLDialer" Data = "C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe" MD5 = "c9f2716a1bb17df55ed01a53833c86e8" Path = ""/>

<Information Value = "SiSUSBRG" Data = "C:\WINDOWS\SiSUSBrg.exe" MD5 = "eccdcf23cd86f033274306790a4e23e3" Path = ""/>

<Information Value = "QuickTime Task" Data = "C:\Program Files\QuickTime\qttask.exe -atboottime" MD5 = "76a3a30b58405c2c6d833895253a51a9" Path = ""/>

<Information Value = "avast!" Data = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" MD5 = "0a9883be214c4f7a65b6dff129f37b6e" Path = ""/>

<Information Value = "HostManager" Data = "C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLHostManager.exe" MD5 = "f272c718d0a1608f04e66cad9af43d46" Path = ""/>

<Information Value = "SpySweeper" Data = "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe /startintray" MD5 = "357957a49e737df44394ab3dc986855b" Path = ""/>

<Information Value = "OM_Monitor" Data = "C:\Documents and Settings\sandra\Mes documents\FirstStart.exe" MD5 = "b939172572280fb59bafef44319ef35f" Path = ""/>

<Information Value = "TrojanScanner" Data = "C:\Program Files\Trojan Remover\Trjscan.exe" MD5 = "4147ed2fad06a7a164a2b4192dced974" Path = ""/>

<Information Value = "WebrootDesktopFirewall" Data = "C:\Program Files\Webroot\Desktop Firewall\webrootdesktopfirewall.exe -t" MD5 = "3148182a8d58e418dfd6fdffdcdf3202" Path = ""/>

<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "Software\Microsoft\Windows NT\CurrentVersion\Winlogon"/>

<Information Value = "Userinit" Data = "C:\WINDOWS\system32\userinit.exe,"/>

<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "Software\Microsoft\Windows NT\CurrentVersion\Winlogon"/>

<Information Value = "Shell" Data = "Explorer.exe"/>

<Information RootKey = "HKEY_CURRENT_USER" KeyPath = "Software\Microsoft\Windows NT\CurrentVersion\Windows"/>

<Information Value = "load" Data = ""/>

<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "Software\Microsoft\Windows NT\CurrentVersion\Windows"/>

<Information Value = "AppInit_DLLs" Data = ""/>

2

<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad"/>

<Information Value = "PostBootReminder" Data = "{7849596a-48ea-486e-8937-a2a3009f31a9}"/>

<Information Value = "CDBurn" Data = "{fbeb8a05-beee-4442-804e-409d6c4515e9}"/>

<Information Value = "WebCheck" Data = "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"/>

<Information Value = "SysTray" Data = "{35CEC8A3-2BE6-11D2-8773-92E220524153}"/>

<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler"/>

<Information Value = "{438755C2-A8BA-11D1-B96B-00A0C90312E1}" Data = "Pré-chargeur Browseui"/>

<Information Value = "{8C7461EF-2B13-11d2-BE35-3078302C2030}" Data = "Démon de cache des catégories de composant"/>

<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "Software\Microsoft\OLE"/>

<Information Value = "DefaultLaunchPermission" Data = ""/>

<Information Value = "EnableDCOM" Data = "Y"/>

<Information RootKey = "HKEY_CURRENT_USER" KeyPath = "Software\Microsoft\Internet Explorer\Main"/>

<Information Value = "NoUpdateCheck" Data = "(DWORD) 0 0 0 0"/>

<Information Value = "NoJITSetup" Data = "(DWORD) 0 0 0 0"/>

<Information Value = "Cache_Update_Frequency" Data = "Once_Per_Session"/>

<Information Value = "Do404Search" Data = ""/>

<Information Value = "Local Page" Data = "C:\WINDOWS\System32\blank.htm"/>

<Information Value = "Start Page" Data = "http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"/>'>http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"/>'>http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"/>

<Information Value = "Search Page" Data = "http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"/>'>http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"/>'>http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"/>'>http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"/>

<Information Value = "Window_Placement" Data = ""/>

<Information Value = "AddToFavoritesExpanded" Data = "(DWORD) 0 0 0 0"/>

<Information Value = "AutoSearch" Data = "(DWORD) 0x5 0 0 0"/>

<Information Value = "Show image placeholders" Data = "(DWORD) 0 0 0 0"/>

<Information Value = "UseThemes" Data = "(DWORD) 0x1 0 0 0"/>

<Information Value = "NoWebJITSetup" Data = "(DWORD) 0 0 0 0"/>

<Information Value = "Page_Transitions" Data = "(DWORD) 0x1 0 0 0"/>

<Information Value = "NscSingleExpand" Data = "(DWORD) 0x1 0 0 0"/>

<Information Value = "Force Offscreen Composition" Data = "(DWORD) 0 0 0 0"/>

<Information Value = "AllowWindowReuse" Data = "(DWORD) 0x1 0 0 0"/>

<Information Value = "SmoothScroll" Data = "(DWORD) 0x1 0 0 0"/>

<Information Value = "LastCheckedHi" Data = "(DWORD) 0xbc 5 c6 1"/>

<Information Value = "Use Custom Search URL" Data = "(DWORD) 0 0 0 0"/>

<Information Value = "Search Bar" Data = "http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"/>'>http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchasst.htm"/>'>http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchasst.htm"/>'>http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchasst.htm"/>

<Information Value = "First Home Page" Data = "http://www.microsoft.com/isapi/redir.dll?Prd=ie&Pver=5.0&Ar=ie5update&O1=b1"/>

<Information Value = "Save Directory" Data = "C:\Documents and Settings\sandra\Mes documents\"/>

<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "Software\Microsoft\Internet Explorer\Main"/>

<Information Value = "Default_Page_URL" Data = "http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"/>

<Information Value = "Default_Search_URL" Data = "http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"/>

<Information Value = "Search Page" Data = "http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"/>

<Information Value = "Cache_Percent_of_Disk" Data = ""/>

<Information Value = "Local Page" Data = "C:\WINDOWS\system32\blank.htm"/>

<Information Value = "Anchor_Visitation_Horizon" Data = ""/>

<Information Value = "Placeholder_Width" Data = ""/>

<Information Value = "Placeholder_Height" Data = ""/>

<Information Value = "Start Page" Data = "http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"/>

<Information Value = "CompanyName" Data = "Microsoft Corporation"/>

<Information Value = "Custom_Key" Data = "MICROSO"/>

<Information Value = "Wizard_Version" Data = "6.0.2600.0000"/>

<Information Value = "Search Bar" Data = "http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchasst.htm"/>

<Information Value = "" Data = ""/>

<Information RootKey = "HKEY_CURRENT_USER" KeyPath = "Software\Microsoft\Internet Explorer\Search"/>

<Information Value = "SearchAssistant" Data = "http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchasst.htm"/>

<Information Value = "CustomizeSearch" Data = "http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm"/>'>http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchcust.htm"/>

<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "Software\Microsoft\Internet Explorer\Search"/>

<Information Value = "SearchAssistant" Data = "http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"/>

<Information Value = "CustomizeSearch" Data = "http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm"/>

<Information RootKey = "HKEY_CURRENT_USER" KeyPath = "Software\Microsoft\Internet Explorer\SearchURL"/>

<Information Value = "provider" Data = ""/>

<Information Value = "" Data = "http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"/>

<Information RootKey = "HKEY_CURRENT_USER" KeyPath = "Software\Microsoft\Internet Explorer\URLSearchHooks"/>

<Information Value = "{CFBFAE00-17A6-11D0-99CB-00C04FD64497}" Data = ""/>

<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "Software\Microsoft\Internet Explorer\Toolbar"/>

<Information Value = "{4982D40A-C53B-4615-B15B-B5B5E98D167C}" Data = ""/>

<Information Value = "{8E718888-423F-11D2-876E-00A0C9082467}" Data = ""/>

3

<Information RootKey = "HKEY_CURRENT_USER" KeyPath = "Software\Microsoft\Internet Explorer\Toolbar"/>

<Information Value = "LinksFolderName" Data = "Links"/>

<Information Value = "Locked" Data = "(DWORD) 0x1 0 0 0"/>

<Information Value = "Theater" Data = ""/>

<Information Value = "{1E796980-9CC5-11D1-A83F-00C04FC99D61}" Data = ""/>

<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "SOFTWARE\Classes\exefile\shell\open\command"/>

<Information Value = "" Data = "%1 %*"/>

<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "SOFTWARE\Classes\comfile\shell\open\command"/>

<Information Value = "" Data = "%1 %*"/>

<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "SOFTWARE\Classes\batfile\shell\open\command"/>

<Information Value = "" Data = "%1 %*"/>

<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "SOFTWARE\Classes\piffile\shell\open\command"/>

<Information Value = "" Data = "%1 %*"/>

<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "SOFTWARE\Classes\scrfile\shell\open\command"/>

<Information Value = "" Data = "%1 /S"/>

<Information RootKey = "HKEY_LOCAL_MACHINE" KeyPath = "SOFTWARE\Classes\htafile\shell\open\command"/>

<Information Value = "" Data = "C:\WINDOWS\System32\mshta.exe %1 %*" MD5 = "3996ee482da9dba3ea49e84735733d9c" Path = ""/>

<Information RootKey = "HKEY_CURRENT_USER" KeyPath = "Software\Microsoft\Windows\CurrentVersion\Internet Settings"/>

<Information Value = "ProxyEnable" Data = "(DWORD) 0 0 0 0"/>

<Information Directory = "C:\Documents and Settings\sandra\Menu Démarrer\Programmes\Démarrage\*" Program = "Anti-Pub.lnk" LinkFile = "C:\Program Files\Antipub\antipub.exe" MD5 = "a855f66fde0e2fef6a0b47934b279791"/>

<Information Directory = "C:\Documents and Settings\sandra\Menu Démarrer\Programmes\Démarrage\*" Program = "desktop.ini" MD5 = "d6a6856702e3f0953e7246a9b4a9fe35" />

<Information Directory = "C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\*" Program = "AOL 9.0 Icône AOL.lnk" LinkFile = "C:\Program Files\AOL 9.0\aoltray.exe" MD5 = "63568da487a52936075829b06d484822"/>

<Information Directory = "C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\*" Program = "desktop.ini" MD5 = "d6a6856702e3f0953e7246a9b4a9fe35" />

<Information Directory = "C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\*" Program = "InterVideo WinCinema Manager.lnk" LinkFile = "C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe" MD5 = "8a21673323b1e0e507a47916b7f65243"/>

<Information Directory = "C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\*" Program = "Lancement rapide d'Adobe Reader.lnk" LinkFile = "C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe" MD5 = "43362b96870ce8649f4f2ec893da93f0"/>

<Information Directory = "C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\*" Program = "Microsoft Recherche accélérée.lnk" LinkFile = "C:\Program Files\Microsoft Office\Office\FINDFAST.EXE" MD5 = "ecee4b3b8d91702516c86bf730f58092"/>

<Information Directory = "C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\*" Program = "~Disabled" MD5 = "(null)" />

<Scanning TIME = "25 Jan 06 20:47:08">

<PROCESS NAME = "C:\WINDOWS\system32\services.exe" MD5 = "fc0691097471ee374907e1024edcbd43"/>

<PROCESS NAME = "C:\WINDOWS\system32\lsass.exe" MD5 = "b7b1c150aff59455db4df082815f88f5"/>

<PROCESS NAME = "C:\WINDOWS\system32\svchost.exe" MD5 = "333a4db8410d8e24db06d6aebecdc7c2"/>

<PROCESS NAME = "C:\WINDOWS\System32\svchost.exe" MD5 = "333a4db8410d8e24db06d6aebecdc7c2"/>

<PROCESS NAME = "C:\WINDOWS\System32\svchost.exe" MD5 = "333a4db8410d8e24db06d6aebecdc7c2"/>

<PROCESS NAME = "C:\WINDOWS\System32\svchost.exe" MD5 = "333a4db8410d8e24db06d6aebecdc7c2"/>

<PROCESS NAME = "C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe" MD5 = "69171d10516d347ea926518228eed5c5"/>

<PROCESS NAME = "C:\WINDOWS\Explorer.EXE" MD5 = "f5909963533d861d169b737a1a8e1ef8"/>

<PROCESS NAME = "C:\Program Files\XoftSpy\XoftSpy.exe" MD5 = "14a25102642960b794b4cf5981b2c341"/>

<ScanningRegKeys>

</ScanningRegKeys>

<ScanningRegValues>

</ScanningRegValues>

<ScanningRegValuesChanged>

</SW>

<SW NAME = "Windows Update Features Disabled">

<REGVALUE NAME = "Windows Update Features Disabled software\microsoft\windows\currentversion\windowsupdate\auto update\auoptions\1:@:1"/>

<REGVALUECHANGEDFOUND NAME = "software\microsoft\windows\currentversion\windowsupdate\auto update\auoptions\1:@:1"/>

</ScanningRegValuesChanged>

<FOLDER PATH = "Viewpoint Toolbar C:\Program Files\viewpoint"/>

<FOLDER PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology"/>

<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\AxMetaStream.dll"/>

<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\AxMetaStream_0303001D.dll"/>

4

<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\ClassIDs.ini"/>

<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\ComponentMgr_0303001D.dll"/>

<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\ComponentRegistry.ini"/>

<FOLDER PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\Components"/>

<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\Components\AOLArt.dll"/>

<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\Components\AOLShell.dll"/>

<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\Components\AOLUserShell.dll"/>

<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\Components\BlueStreak.dll"/>

<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\Components\Cursors.dll"/>

<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\Components\DataTracking.dll"/>

<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\Components\GifReader.dll"/>

<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\Components\JpegReader.dll"/>

<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\Components\LensFlares.dll"/>

<FILE PATH = "Viewpoint Toolbar C:\Program Files\viewpoint\Viewpoint Experience Technology\Components\Mts2Reader.dll"/>

<FILE PATH = "Viewpoint Toolbar C:\Program Files

Posté(e) (modifié)

Bonjour Sandra, et merci pour ces rapports. J'y vois quelques trucs peu courants, qui ont tous été désinstallés. On va faire un peu de ménage, de façon à mieux voir si les symptômes reviennent.

 

J'aimerais vraiment que tu puisses nous donner les résultats du scan de SpyCop par contre. Voici comment le paramétrer : lorsque tu arrives aux options de scan et que tu as choisi le lecteur C, continue et ne coche pas celles-ci : -Enable Adware scanning, -Enable Fast maintenance scanning, -Password protect program (ces trois-là ne sont pas nécessaires). Clique le bouton "Update Now" afin de faire sa mise à jour. Click "Next" deux fois (saute l'option d'envoyer des rapports par courriel) ; à la prochaine fenêtre, laisse les deux cases cochés, puis click "Finish". Le scan s'amorcera. Ça peut prendre un certain temps (tu verras la loupe qui tourne autour de l'écran - en haut à droite - donc scan en cours). Si des fichiers sont trouvés, note les et poste les résultats s'il te plaît. N'utilise pas la fonction "Rename" tout de suite, si fichiers trouvés.

 

Pour WAOL.EXE : ce processus peut être associé à un spyware dans certains cas, mais il peut aussi être un processus légitime d'AOL ; étant donné que tu utilises AOL, ça doit être légitime... Si tu peux noter son emplacement, ça nous aiderait.

 

Je veux te faire passer un autre outil ; le scan devrait être rapide, et cet outil cherche des fichiers de type Rootkits :

 

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

~~~~~~~~~~~~~~~~~~~~~~

 

En résumé, j'aimerais voir les rapports de SpyCop et de BlackLight (et l'emplacement de waol.exe si possible). J'aimerais également savoir comment ton ordi est branché à l'internet; as-tu le téléphone et le modem branchés sur la même prise ? As-tu une connection 56K ? Merci :P

Modifié par Qc001
Posté(e)

Bonjour Sandra, et merci pour ces rapports. J'y vois quelques trucs peu courants, qui ont tous été désinstallés. On va faire un peu de ménage, de façon à mieux voir si les symptômes reviennent.

 

J'aimerais vraiment que tu puisses nous donner les résultats du scan de SpyCop par contre. Voici comment le paramétrer : lorsque tu arrives aux options de scan et que tu as choisi le lecteur C, continue et ne coche pas celles-ci : -Enable Adware scanning, -Enable Fast maintenance scanning, -Password protect program (ces trois-là ne sont pas nécessaires). Clique le bouton "Update Now" afin de faire sa mise à jour. Click "Next" deux fois (saute l'option d'envoyer des rapports par courriel) ; à la prochaine fenêtre, laisse les deux cases cochés, puis click "Finish". Le scan s'amorcera. Ça peut prendre un certain temps (tu verras la loupe qui tourne autour de l'écran - en haut à droite - donc scan en cours). Si des fichiers sont trouvés, note les et poste les résultats s'il te plaît. N'utilise pas la fonction "Rename" tout de suite, si fichiers trouvés.

 

Pour WAOL.EXE : ce processus peut être associé à un spyware dans certains cas, mais il peut aussi être un processus légitime d'AOL ; étant donné que tu utilises AOL, ça doit être légitime... Si tu peux noter son emplacement, ça nous aiderait.

 

Je veux te faire passer un autre outil ; le scan devrait être rapide, et cet outil cherche des fichiers de type Rootkits :

 

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

~~~~~~~~~~~~~~~~~~~~~~

 

En résumé, j'aimerais voir les rapports de SpyCop et de BlackLight (et l'emplacement de waol.exe si possible). J'aimerais également savoir comment ton ordi est branché à l'internet; as-tu le téléphone et le modem branchés sur la même prise ? As-tu une connection 56K ? Merci :P

 

Bonjour à tous,

 

Il est temps que je réponde à la personne qui me demande « les clés » : envoi d’un rapport en ce sens et merci à lui :

ROOTKITREVEAL du 4 juin 2004 (clés)

 

CWShredder 19 avril 2005 : ci joint le rapport

 

BLACKLIGHT 31 janvier 2006 : ci joint le rapport.

 

SPYCOP 31 janvier 2006 : merci pour les précisions qui m’ont permises de faire correctement le scan.

Status : « trial mode scan done. Sone files were skipped ». (comment faire un rapport ?)

« active super stealth mode » : « warning ! » Qu’est ce donc ?

Rien de notifié dans les cases.

 

TROJAN REMOVER de ce jour : 4 clés toujours repérées mais noms différents, liés peut être au fait que j’ai coché la case « renommer » , lors du scan, il y a quelques jours… (83 pages de rapport…)

 

TREND MICRO du 31 janvier 2006 : coupure AOL. Essai 2 : coupure AOL.

AOL propose mise à jour et redémarrage de suite…(impossible de faire autre chose, j’accepte)…

Essai 3, AOL ne fonctionne pas, propose encore mise à jour et déconnexion, j’accepte.

Essai 4 avec TREND MICRO , le scan démarre. Signale 2 COOKIES HTTP (pas de noms, 5 quelques jours plus tôt) .

Nettoyage effectué. Par contre, la page devant présenter une action manuelle pour les clés ne s’affichera pas…

Au bout de 2 heures, j’abandonne l’attente.

 

Un document joint, tapé pour le 25 et 26 janvier 06 : avant éradication, permettrait de mieux cerner les problèmes. (VIOLATION ACCES).

 

WAOL.EXE 3A88A0A8 : cette fonction m’intrigue. Comme je l’ai déjà dit avant, une fenêtre s’ouvre souvent (dans des moments de scan ou de tentative de nettoyage, par exemple) en me demandant d’insérer un CD dans le lecteur ! Que vient faire ce message ? ? ? ? En fait, il est une entrave à l’avancement de certains processus que j’effectue et cela me laisse perplexe… Pour ces raisons, il est toujours un sérieux problème et je me pose des questions…

Je le trouve dans PREFETCH, en fichier à ouvrir avec ADOBE READER, qui ne s’ouvre pas, puisqu’on signale qu’il est endommagé… Souvent aussi, j’ai une réponse me disant que ce fichier est introuvable (aol.exe).

Je viens de le convertir pour le lire en WORD PAD : rien à lire, des caractères incompréhensibles et beaucoup de carrés… (je trouve cela suspect). Lors de cette conversion, tous les autres fichiers de PREFETCH se retrouvent en même temps sur un mode WORD PAD…

Devrais je le laisser en WORD PAD (avec les autres) compte tenu de « l’endommagement » d’adobe reader ?

Il est aussi dans le programme AOL, normal cela je pense.

 

La prise de l’ordinateur est sur une multiprise téléphone/PC et non pas deux prises séparées. Connection en 56 K. Egalement, beaucoup de problèmes avec le téléphone, laissant perplexe les techniciens qui ne trouvent rien…Pourtant, ils m’ont signifié avoir découverts une anomalie sur ma ligne, il y a deux ans environ. « Perte…, au niveau de leurs tests » : des numéros n’aboutiraient pas chez moi et atterrissent je ne sais où ! !

(vrai, on me dit que je ne suis pas là, alors que le téléphone ne sonnait pas)

Visite à domicile pour contrôle, à leur demande… : démarche suspecte pour un responsable de France Télecom qui affirme qu’on n’appelle pas les abonnés …

Dernièrement, expliquant mes suspicions de piratage au téléphone, le bruit d’une touche sur laquelle on appuierait se fait entendre : ni moi, ni mon interlocuteur n’avons fait une manipulation (de plus, sur un mot en rapport avec mes dossiers « surveillés ».

Parfois, le son diminue, on ne m’entend plus du tout même. Je dois raccrocher et refaire le numéro.

On me fait savoir que les sons du PC viendraient de la ligne, piratée en quelque sorte (info d’un monsieur dont le travail était justement en rapport avec la surveillance).

En table d’écoute, il ne se passerait aucune de ces anomalies, on me dit que c’est ailleurs qu’il faut chercher…

 

 

 moins de bruit dans l’ordinateur (ventilateur).

 Bruit de « mitraillettes » sur certaines pages que je ferme.

 Suis toujours infectée par CLARIA/GAIN/GATOR FILE (scan SOFSPY)

 Toujours 35 viewpoint relevés dans un autre test.

 Disque dur disponibilité de 66 % passée à 27 % en deux mois…

 J’ai les rapports des incidents d’AOL, si çà vous intéresse.

 AOL : quand les mails ont été effacés sur l’ordinateur, j’ai trouvé dans le rapport des problèmes AOL, une ligne stipulant « violation de partage » : pourriez vous me dire si cela signifie bien l’accès et la violation de mes données (cà s’est passé deux fois, au moment de la connection AOL/WEB (ralentissement important de l’accès et pages qui mettent un temps fou à se placer, pages déformées…)

 

 

Tu n’as pas lieu de me remercier, c’est à moi de fournir ce que tu me demandes pour m’aider. Ce qui me lassait , c’est d’envoyer des rapports classiques qui ne sont pas en mesure de détecter mes problèmes et qui ne parlent pas. J’en ai eu la preuve et vous me dites avoir vu « des trucs pas courants », pouvez vous développer ceci SVP ?

Comprenez que je suis comme un malade à qui on ne trouve rien, parce qu’il a une maladie orpheline et çà on ne le sait qu’au moment du diagnostic !

 

Des mois que j’attends (2ans de dysfonctionnements incessants) pour avoir un nom (fait), des explications (merci à vous de m’éclairer sur ce qui pour vous est banal mais impensable pour des gens à qui j’ai confié mes histoires les larmes aux yeux…) J’avais raison, mais il me faudrait arriver à savoir QUI ET POURQUOI (si possible).

Grâce à plusieurs personnes, on avance beaucoup et j’aurais du intervenir plus tôt.

 

CETTE CONNECTION EST DE NOUVEAU LENTE ET ANORMALE... pour poster mon message.

 

02/01/06 13:13:07 [info]: BlackLight Engine 1.0.30 initialized

02/01/06 13:13:07 [info]: OS: 5.1 build 2600 (Service Pack 1)

02/01/06 13:13:08 [Note]: 7019 4

02/01/06 13:13:08 [Note]: 7005 0

02/01/06 13:18:39 [Note]: 7006 0

02/01/06 13:18:39 [Note]: 7011 1140

02/01/06 13:18:40 [Note]: FSRAW library version 1.7.1014

02/01/06 13:22:55 [Note]: 7007 0

 

 

HKLM\SYSTEM\ControlSet001\Control\MediaProperties\PrivateProperties\Midi\Ports\Mappeur MIDI Microsoft [ 04/06/2004 16:20 0 bytes Key name contains embedded nulls (*)

HKLM\SYSTEM\ControlSet001\Control\MediaProperties\PrivateProperties\Midi\Ports\SynthÚ. SW table de sons GS Mic [ 04/06/2004 16:20 0 bytes Key name contains embedded nulls (*)

HKLM\SYSTEM\ControlSet002\Control\MediaProperties\PrivateProperties\Midi\Ports\Mappeur MIDI Microsoft [ 04/06/2004 16:20 0 bytes Key name contains embedded nulls (*)

HKLM\SYSTEM\ControlSet002\Control\MediaProperties\PrivateProperties\Midi\Ports\SynthÚ. SW table de sons GS Mic [ 04/06/2004 16:20 0 bytes Key name contains embedded nulls (*)

C:\Documents and Settings\All Users\Application Data\AOL\UserProfiles\f5ce5e705ad87cac8cd86771ad02a5edbdef2747\metrics\data\5C2A94F1-655-4EC4-99E5-35AF9CC304B.1136412042.tlv 04/01/2006 23:00 1.75 KB Hidden from Windows API.

 

TEST CWSHREDDER DU 19 AVRIL 2005

 

 

**** Run Keys ****

 

RUN: [siS Tray] C:\WINDOWS\System32\sistray.EXE

RUN: [siS KHooker] C:\WINDOWS\System32\khooker.exe

RUN: [soundMan] SOUNDMAN.EXE

RUN: [CHotkey] mHotkey.exe

RUN: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

RUN: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

RUN: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

RUN: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"

RUN: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

RUN: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

RUN: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

RUN: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

RUN: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

RUN: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe

RUN: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

RUN: [AOL Spyware Protection] "C:\PROGRA~1\FICHIE~1\AOL\AOLSPY~1\AOLSP Scheduler.exe"

RUN: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

RUN: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

RUN: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

RUN: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

RUN: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0

 

 

**** Browser Helper Objects ****

 

BHO: [AcroIEHlprObj Class] C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

BHO: [] C:\PROGRA~1\SPYBOT~1\SDHelper.dll

 

 

**** IE Toolbars ****

 

TOOLBAR: [AOL Toolbar] C:\Program Files\AOL Toolbar\toolbar.dll

TOOLBAR: [&Radio] C:\WINDOWS\System32\msdxm.ocx

TOOLBAR: [Copernic Agent] C:\Program Files\Copernic Agent\CopernicAgentExt.dll

 

 

**** IE Extensions ****

 

IEExt: []

IEExt: []

IEExt: [Run WinHTTrack]

IEExt: [AOL Toolbar]

IEExt: [Copernic Agent] C:\PROGRA~1\COPERN~1\COPERN~1.EXE

IEExt: [Real.com] C:\PROGRA~1\COPERN~1\COPERN~1.EXE

IEExt: [Messenger] C:\Program Files\Messenger\MSMSGS.EXE

 

 

**** Hosts File Entries ****

 

HOSTS: 127.0.0.1 localhost

HOSTS: 127.0.0.1 localhost

 

 

**** IE Settings ****

2

Default Page: http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome

Default Search: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Local Page: C:\WINDOWS\System32\blank.htm

Search Bar: res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_BAND_SEARCHBAR_HTML

Search Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

 

 

**** IE Context Menu (Right click) ****

 

IEContext: [&Recherche AOL Toolbar] res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

 

 

**** Layered Service Providers ****

 

LSP: MSAFD Tcpip [TCP/IP]

LSP: MSAFD Tcpip [uDP/IP]

LSP: RSVP UDP Service Provider

LSP: RSVP TCP Service Provider

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{43881E61-3251-49BF-8909-BAD8D858A309}] SEQPACKET 0

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{43881E61-3251-49BF-8909-BAD8D858A309}] DATAGRAM 0

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{52CC62D2-16A5-4A28-BBB2-02371DF5FB65}] SEQPACKET 1

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{52CC62D2-16A5-4A28-BBB2-02371DF5FB65}] DATAGRAM 1

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{25690A4F-9A8B-4C0B-8497-3EA802FB0485}] SEQPACKET 2

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{25690A4F-9A8B-4C0B-8497-3EA802FB0485}] DATAGRAM 2

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E42B4CAF-32B4-47AD-9E8B-B844F4F52432}] SEQPACKET 3

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E42B4CAF-32B4-47AD-9E8B-B844F4F52432}] DATAGRAM 3

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2EBDA082-8FA9-43A4-BC1F-B5FFDCE7CDCE}] SEQPACKET 4

LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2EBDA082-8FA9-43A4-BC1F-B5FFDCE7CDCE}] DATAGRAM 4

 

 

**** Blocked Control Panel Items ****

 

BLOCKED: [ncpa.cpl] No

BLOCKED: [odbccp32.cpl] No

 

 

**** Downloaded Program Files ****

 

DirectAnimation Java Classes [file://C:\WINDOWS\Java\classes\dajava.cab]

Interface Chat Wanadoo [http://chat15.x-echo.com/version4/Applet/wchatsign.cab]

Microsoft XML Parser for Java [file://C:\WINDOWS\Java\classes\xmldso.cab]

ppctlcab [http://www.pestscan.com/scanner/ppctlcab.cab] C:\WINDOWS\Downloaded Program Files\ppctl.dll

{2FC9A21E-2069-4E47-8235-36318989DB13} [http://www.pestscan.com/scanner/axscanner.cab] C:\WINDOWS\System32\msvbvm60.dll C:\WINDOWS\Downloaded Program Files\PPSDKActiveXScanner.ocx

{33564D57-0000-0010-8000-00AA00389B71} [http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB]

 

3

{4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} [http://aolcc.aol.fr/computercheckup/qdiagcc.cab] C:\WINDOWS\System32\DLPT.sys C:\WINDOWS\System32\DDMI.VXD C:\WINDOWS\System32\DLPT.VXD C:\WINDOWS\System32\DDMI2.sys C:\WINDOWS\System32\qdiagcc.ocx C:\WINDOWS\System32\DAntivirus.cfg

{8EC69950-F299-40AC-A004-3BF5176F8F7B} [http://www.checkspy.com/fr/FlowScan.cab]

{981D847D-2C06-4FB7-A09C-4F0A48601B2C} [http://techcity.aol.fr/download/img/DiagSetup.cab]

 

 

**** Windows Services ****

 

[Alerter] %SystemRoot%\System32\svchost.exe -k LocalService

[ALG] %SystemRoot%\System32\alg.exe

[AntiVirService] C:\Program Files\AVPersonal\AVGUARD.EXE

[AOL ACS] C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

[AOLService] C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\\aolserv.exe

[AppMgmt] %SystemRoot%\system32\svchost.exe -k netsvcs

[AudioSrv] %SystemRoot%\System32\svchost.exe -k netsvcs

[AVWUpSrv] "C:\Program Files\AVPersonal\AVWUPSRV.EXE"

[bITS] %SystemRoot%\System32\svchost.exe -k netsvcs

[browser] %SystemRoot%\System32\svchost.exe -k netsvcs

[CiSvc] %SystemRoot%\system32\cisvc.exe

[ClipSrv] %SystemRoot%\system32\clipsrv.exe

[COMSysApp] C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}

[CryptSvc] %SystemRoot%\system32\svchost.exe -k netsvcs

[Dhcp] %SystemRoot%\System32\svchost.exe -k netsvcs

[dmadmin] %SystemRoot%\System32\dmadmin.exe /com

[dmserver] %SystemRoot%\System32\svchost.exe -k netsvcs

[Dnscache] %SystemRoot%\System32\svchost.exe -k NetworkService

[ERSvc] %SystemRoot%\System32\svchost.exe -k netsvcs

[Eventlog] %SystemRoot%\system32\services.exe

[EventSystem] C:\WINDOWS\System32\svchost.exe -k netsvcs

[FastUserSwitchingCompatibility] %SystemRoot%\System32\svchost.exe -k netsvcs

[GEARSecurity] C:\WINDOWS\System32\GEARSEC.EXE

[helpsvc] %SystemRoot%\System32\svchost.exe -k netsvcs

[HidServ] %SystemRoot%\System32\svchost.exe -k netsvcs

[imapiService] C:\WINDOWS\System32\imapi.exe

[iPodService] C:\Program Files\iPod\bin\iPodService.exe

[lanmanserver] %SystemRoot%\System32\svchost.exe -k netsvcs

[lanmanworkstation] %SystemRoot%\System32\svchost.exe -k netsvcs

[LmHosts] %SystemRoot%\System32\svchost.exe -k LocalService

[Messenger] %SystemRoot%\System32\svchost.exe -k netsvcs

[mnmsrvc] C:\WINDOWS\System32\mnmsrvc.exe

[MSDTC] C:\WINDOWS\System32\msdtc.exe

[MSIServer] C:\WINDOWS\System32\msiexec.exe /V

[NetDDE] %SystemRoot%\system32\netdde.exe

[NetDDEdsdm] %SystemRoot%\system32\netdde.exe

[Netlogon] %SystemRoot%\System32\lsass.exe

[Netman] %SystemRoot%\System32\svchost.exe -k netsvcs

[Nla] %SystemRoot%\System32\svchost.exe -k netsvcs

[NtLmSsp] %SystemRoot%\System32\lsass.exe

[NtmsSvc] %SystemRoot%\system32\svchost.exe -k netsvcs

[PlugPlay] %SystemRoot%\system32\services.exe

[PolicyAgent] %SystemRoot%\System32\lsass.exe

[ProtectedStorage] %SystemRoot%\system32\lsass.exe

[RasAuto] %SystemRoot%\System32\svchost.exe -k netsvcs

[RasMan] %SystemRoot%\System32\svchost.exe -k netsvcs

[RDSessMgr] C:\WINDOWS\system32\sessmgr.exe

[RemoteAccess] %SystemRoot%\System32\svchost.exe -k netsvcs

4

[RpcLocator] %SystemRoot%\System32\locator.exe

[RpcSs] %SystemRoot%\system32\svchost -k rpcss

[RSVP] %SystemRoot%\System32\rsvp.exe

[samSs] %SystemRoot%\system32\lsass.exe

[sCardDrv] %SystemRoot%\System32\SCardSvr.exe

[sCardSvr] %SystemRoot%\System32\SCardSvr.exe

[schedule] %SystemRoot%\System32\svchost.exe -k netsvcs

[seclogon] %SystemRoot%\System32\svchost.exe -k netsvcs

[sENS] %SystemRoot%\system32\svchost.exe -k netsvcs

[sharedAccess] %SystemRoot%\System32\svchost.exe -k netsvcs

[shellHWDetection] %SystemRoot%\System32\svchost.exe -k netsvcs

[sLService] slserv.exe

[spooler] %SystemRoot%\system32\spoolsv.exe

[srservice] %SystemRoot%\System32\svchost.exe -k netsvcs

[sSDPSRV] %SystemRoot%\System32\svchost.exe -k LocalService

[stisvc] %SystemRoot%\System32\svchost.exe -k imgsvc

[swPrv] C:\WINDOWS\System32\dllhost.exe /Processid:{19BC5DA9-6015-474F-886C-A1E69ABBA835}

[sysmonLog] %SystemRoot%\system32\smlogsvc.exe

[TapiSrv] %SystemRoot%\System32\svchost.exe -k netsvcs

[TermService] %SystemRoot%\System32\svchost.exe -k netsvcs

[Themes] %SystemRoot%\System32\svchost.exe -k netsvcs

[TrkWks] %SystemRoot%\system32\svchost.exe -k netsvcs

[uMWdf] C:\WINDOWS\System32\wdfmgr.exe

[uploadmgr] %SystemRoot%\System32\svchost.exe -k netsvcs

[upnphost] %SystemRoot%\System32\svchost.exe -k LocalService

[uPS] %SystemRoot%\System32\ups.exe

[vsmon] C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service

[VSS] %SystemRoot%\System32\vssvc.exe

[W32Time] %SystemRoot%\System32\svchost.exe -k netsvcs

[WANMiniportService] "C:\WINDOWS\wanmpsvc.exe"

[WebClient] %SystemRoot%\System32\svchost.exe -k LocalService

[winmgmt] %systemroot%\system32\svchost.exe -k netsvcs

[WmdmPmSN] %SystemRoot%\System32\svchost.exe -k netsvcs

[WmiApSrv] C:\WINDOWS\System32\wbem\wmiapsrv.exe

[wuauserv] %systemroot%\system32\svchost.exe -k netsvcs

[WZCSVC] %SystemRoot%\System32\svchost.exe -k netsvcs

 

 

**** Custom IE Search Items ****

 

SEARCH: [searchAssistant]

SEARCH: [CustomizeSearch]

SEARCH: [searchAssistant] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm

SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm

 

 

**** Complete IE Options ****

 

IEOPT: [NoUpdateCheck]

IEOPT: [NoJITSetup]

IEOPT: [Disable Script Debugger] yes

IEOPT: [show_ChannelBand] No

IEOPT: [Anchor Underline] yes

IEOPT: [Cache_Update_Frequency] Once_Per_Session

IEOPT: [Display Inline Images] yes

IEOPT: [Do404Search]

IEOPT: [Local Page] C:\WINDOWS\System32\blank.htm

IEOPT: [save_Session_History_On_Exit] no

IEOPT: [show_FullURL] no

5

IEOPT: [show_StatusBar] yes

IEOPT: [show_ToolBar] yes

IEOPT: [show_URLinStatusBar] yes

IEOPT: [show_URLToolBar] yes

IEOPT: [start Page] http://www.microsoft.com/isapi/redir.dll?p...B_PVER}&ar=home

IEOPT: [use_DlgBox_Colors] yes

IEOPT: [search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

IEOPT: [FullScreen] no

IEOPT: [Window_Placement] ,

IEOPT: [NotifyDownloadComplete] yes

IEOPT: [use FormSuggest] yes

IEOPT: [Error Dlg Displayed On Every Error] no

IEOPT: [save Directory] C:\Documents and Settings\sandra\Mes documents\

IEOPT: [AddToFavoritesExpanded]

IEOPT: [AutoSearch]

IEOPT: [Move System Caret] no

IEOPT: [Expand Alt Text] no

IEOPT: [Print_Background] no

IEOPT: [Enable_MyPics_Hoverbar] yes

IEOPT: [show image placeholders]

IEOPT: [Enable AutoImageResize] yes

IEOPT: [Play_Animations] yes

IEOPT: [Play_Background_Sounds] yes

IEOPT: [Display Inline Videos] yes

IEOPT: [FavIntelliMenus] no

IEOPT: [Enable Browser Extensions] yes

IEOPT: [useThemes]

IEOPT: [NoWebJITSetup]

IEOPT: [Friendly http errors] yes

IEOPT: [showGoButton] yes

IEOPT: [Page_Transitions]

IEOPT: [NscSingleExpand]

IEOPT: [Force Offscreen Composition]

IEOPT: [AllowWindowReuse]

IEOPT: [smoothScroll]

IEOPT: [LastCheckedHi] aìÄ s

IEOPT: [First Home Page] http://www.microsoft.com/isapi/redir.dll?P...ie5update&O1=b1

IEOPT: [use Custom Search URL]

IEOPT: [search Bar] res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_BAND_SEARCHBAR_HTML

IEOPT: [Default_Page_URL] http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome

IEOPT: [Default_Search_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

IEOPT: [search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

IEOPT: [Enable_Disk_Cache] yes

IEOPT: [Cache_Percent_of_Disk]

IEOPT: [Delete_Temp_Files_On_Exit] yes

IEOPT: [Local Page] %SystemRoot%\system32\blank.htm

IEOPT: [Anchor_Visitation_Horizon]

IEOPT: [use_Async_DNS] yes

IEOPT: [Placeholder_Width]

IEOPT: [Placeholder_Height]

IEOPT: [start Page] http://www.microsoft.com/isapi/redir.dll?p...B_PVER}&ar=home

IEOPT: [CompanyName] Microsoft Corporation

IEOPT: [Custom_Key] MICROSO

IEOPT: [Wizard_Version] 6.0.2600.0000

6

IEOPT: [FullScreen] no

IEOPT: [search Bar]

IEOPT: []

 

 

4 DECEMBRE 2005

Logfile of HijackThis v1.98.2

Scan saved at 01:46:50, on 05/12/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\sistray.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\mHotkey.exe

C:\WINDOWS\system32\slserv.exe

C:\Program Files\Real\RealPlayer\RealPlay.exe

C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLHostManager.exe

C:\Program Files\AOL Compagnon\companion.exe

C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLServiceHost.exe

C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Program Files\Antipub\antipub.exe

C:\WINDOWS\wanmpsvc.exe

c:\program files\fichiers communs\aol\1132444734\ee\services\antiSpywareApp\ver2_0_12\AOLSP Scheduler.exe

C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLServiceHost.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Documents and Settings\sandra\Mes documents\HIJACK THIS\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [siS Tray] C:\WINDOWS\System32\sistray.EXE

O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\System32\khooker.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLHostManager.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe

O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe

O4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exe

O4 - Global Startup: AOL Companion.lnk = ?

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE

O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: Interface Chat Wanadoo - http://chat15.x-echo.com/version4/Applet/wchatsign.cab

O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab

O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1130442705793

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {8EC69950-F299-40AC-A004-3BF5176F8F7B} (FlowScan Control) - http://www.checkspy.com/fr/FlowScan.cab

O16 - DPF: {981D847D-2C06-4FB7-A09C-4F0A48601B2C} (DiagSetup Class) - http://techcity.aol.fr/download/img/DiagSetup.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

 

 

 

TESTS DU 25 ET 26 JANVIER 2006 (dans la nuit)

 

 

Rootkit Revealer test 1

 4 discrepancies found (clés)

 data misnasch between windows and raw hive data 80 bytes

 

En allant lire le rapport dans le disque dur, fenêtre : « rootkit detection utility ».

Un rapport d’ erreurs s’affiche.

Quand au rapport du scan, la page est vide !

Je refais le test, je veux mettre le rapport du scan dans « mes documents » : introuvable !

 

 

En mode sans échec : Fenêtre s’ouvre :

« unable to install rootkit revealer service : une opération d’entrée/sortie avec chevauchement est en cours d’exécution »

 

 

En mode normal, je refais un test : le fichier « data misnasch… » ne figure plus sur la liste !

Seulement les 4 clés ressortent du test, comme ci dessus.

 

Nouveau test : 953 discrepancies found !

J’imprime les 43 pages.

 

Nouveau test : fenêtre comme ci dessus… : « rootkit detection utility »

« rootkit detection a rencontré un probléme et doit fermer. Nous vous prions de….

Rapport d’erreurs : C : /DOCUME 1/ sandra LOCALS 1 /temps/wer24. Tnp 00/pp….

 

Nouveau test : « rootkit….. » rapport d’erreurs : …. ……... wer25….

 

Nouveau test : deux nouveaux fichiers apparaissent :

Hklm software 80 bytes data mismasch between… du 26 janv 06

Idem 84 bytes data……. du 26 janv 06

Plus les 4 clés du départ.

Rien du tout sur les rapports dans systéme 32 : pages blanches ! ! !

 

 

Trojan remover

 

En mode sans échec :

Fenêtre s’ouvre : « access violation at address (un numéro suit) in module « uhn 12.exe » . Write of address (un n°suit) ».

Détails : « access violation at address (un autre numéro suit, différent de la ligne dessus) in module « UHN 12.exe ». Read of adress ( autre n° suit) »

 

HKEY LOCAL MACHINE/ System/current controlSet/Service/appmgmt/service DII

The files is called an NT/XP service DII registrey key

C : / windows/systeme 32/appmgmps.dll

The program is loader by the following registrey key

This program is not a « known » trojant horse.

 

 

 

Fenêtre s’ouvre : « access violation at address (un même numéro)….etc

Détail : « access violation at address…. (un autre numéro suit différent de la ligne dessus) »

HKEY LOCAL MACHINE /System/currentControlSet/Services/ Hidserv/ Service DII

The files is……(idem)

C/windows/System32/Hidserv.dII

An executable file with name « has not » been located in the path.

The program is loader by the following registrey key.

This program is not a…..

2

Fenêtre s’ouvre : « access violation…. (même numéro)….Write of…. (même numéro) »

Détails : « access violation at….. idem….. »

 

HKEY LOCAL MACHINE/System/currentControlSet/Service/AOL Service/Image Path

C : Program files/ fichiers commun/AOL/AOL spyware protection/AOLser. Exe

 

 

Fenêtre s’ouvre ….

Détails : idem…

HKEY LOCAL MACHINE/System/current controlSet/services/ UWAWCA/image Path

C : Docume 1/sandra/local 1/temp/ UWAWCA /Image path

 

 

Trojan remover : error SF 0111 in procédure process start entry :

Access violation error resolving the shortcut reference AOL 9 icône AOL.INK located in the startup group

Trojan remover is unable to determine the name of locate or scan the file referenced by this shortcut

OK

(je n’ai rien su faire…)

 

access violation error resolving the shortcut reference intervideo wincinéma manager. INK located in the startup group.

Troyan remover is unable to determine the name of, locate or scan the file referenced by this shortcut

Ok

(je n’ai rien su faire…)

 

 

access violation error resolving the shortcut reference lancement rapide d’adobe reader. INK located in the….

(je n’ai rien su faire…)

 

access violation error resolving the shortcut reference Microsoft recherche accélérée. Idem….

 

(je n’ai rien su faire…)

 

 

 

En mode normal, le scan bloque l’ordinateur….

Information : « cannot access poste de travail if this is a driver, it is either empty or not ready. Otherwise, it docs not appear to be a valid directory path »

 

Autre essai : « no active malicious files were found and no changes were made »

Puis autre essai : rapport de 48 pages fait.

 

Antivirus AVAST est figé….

Pour obtenir des infos sur Google, une page en espagnol s’ouvre pour une pub d’antivirus ! ! ! !

 

Nouvel essai en mode sans échec : PLUS RIEN NE RESSORTIRA DES TESTS COMME ANOMALIES ! ! !

 

Puis, s’ouvre des fenêtres qui me font peur :

Warning ! chosing this option will ….

(je ne comprends pas, je ne réponds pas)

warning ! turning off randow filmane generation proctection will mean that trojan remover is…

 

l’inspiration et le « hum », reprend comme bruit bizarre…., à deux reprises….

 

Sur un forum, j’apprends à accéder aux clés en tapant REGEDIT.

J’imprime les clés concernées par le signalement du logiciel de test.

 

3

Je recharge AVAST ; Je scanne.

 

Pourquoi la deuxiéme fois n’ais je pas obtenu les mêmes anomalies ?

En ne répondant pas pour les choix, j’ai du empêcher le renouvellement de l’affichage des problémes ou alors en répondant….(J’ai fait tellement d’essais !)

J’ai photographié l’écran à chaque fenêtre.

 

AOL, comme je le pressens est t’il impliqué dans le processus de piratage ? (trois ans de mails disparus)

 

Que déduire de ces tests ?

 

 

DRIVE/DIRECTORY SCAN *****

Trojan Remover Ver 6.4.6. For information, email simplysupsupport@aol.com

[unregistered version]

[Global edition ]

Scan started at: 26/01/2006 04:41:39

Using Database v6460

Operating System: Microsoft Windows XP Version: 5.1 (Build: 2600 Service Pack 1)

--------------------------------------------------

Carrying out scan on C:\

(including subdirectories)

Archive files will be INCLUDED.

The scan will also include files aready renamed by Trojan Remover

------------------------------

------------------------------

Scan stopped by user after 63 files were checked

No Malware files detected

************************************************************

 

 

***** NORMAL SCAN FOR ACTIVE MALWARE *****

Trojan Remover Ver 6.4.6. For information, email simplysupsupport@aol.com

[unregistered version]

[Global edition ]

Scan started at: 26/01/2006 04:29:04

Using Database v6460

Operating System: Microsoft Windows XP Version: 5.1 (Build: 2600 Service Pack 1)

--------------------------------------------------

04:29:05: ----------RUNNING PROCESSES-----------

C:\WINDOWS\System32\smss.exe

FileSize: 45568 bytes

Company Name: Microsoft Corporation

File Description: Windows NT Session Manager

File Version: 5.1.2600.1106 (xpsp1.020828-1920)

Internal Name: smss.exe

Copyright: © Microsoft Corporation. All rights reserved.

Original Filename: smss.exe

Product Name: Microsoft® Windows® Operating System

Product Version: 5.1.2600.1106

--------------------

C:\WINDOWS\system32\csrss.exe

FileSize: 4096 bytes

Company Name: Microsoft Corporation

File Description: Client Server Runtime Process

File Version: 5.1.2600.0 (xpclient.010817-1148)

Internal Name: CSRSS.Exe

Copyright: © Microsoft Corporation. All rights reserved.

Original Filename: CSRSS.Exe

Product Name: Microsoft® Windows® Operating System

Product Version: 5.1.2600.0

--------------------

C:\WINDOWS\system32\winlogon.exe

FileSize: 520704 bytes

Company Name: Microsoft Corporation

File Description: Application d'ouverture de session Windows NT

File Version: 5.1.2600.1106 (xpsp1.020828-1920)

Internal Name: winlogon

Copyright: © Microsoft Corporation. Tous droits réservés.

Original Filename: WINLOGON.EXE

Product Name: Système d'exploitation Microsoft® Windows®

Product Version: 5.1.2600.1106

--------------------

C:\WINDOWS\system32\services.exe

FileSize: 101888 bytes

Company Name: Microsoft Corporation

File Description: Applications Services et Contrôleur

File Version: 5.1.2600.0 (xpclient.010817-1148)

Internal Name: services.exe

Copyright: © Microsoft Corporation. Tous droits réservés.

Original Filename: services.exe

Product Name: Système d'exploitation Microsoft® Windows®

Product Version: 5.1.2600.0

--------------------

C:\WINDOWS\system32\lsass.exe

FileSize: 11776 bytes

Company Name: Microsoft Corporation

File Description: LSA Shell (Export Version)

File Version: 5.1.2600.1106 (xpsp1.020828-1920)

Internal Name: lsass.exe

Copyright: © Microsoft Corporation. All rights reserved.

Original Filename: lsass.exe

Product Name: Microsoft® Windows® Operating System

Product Version: 5.1.2600.1106

--------------------

C:\WINDOWS\system32\svchost.exe

FileSize: 12800 bytes

Company Name: Microsoft Corporation

File Description: Generic Host Process for Win32 Services

File Version: 5.1.2600.0 (xpclient.010817-1148)

Internal Name: svchost.exe

Copyright: © Microsoft Corporation. All rights reserved.

Original Filename: svchost.exe

Product Name: Microsoft® Windows® Operating System

Product Version: 5.1.2600.0

--------------------

C:\WINDOWS\System32\svchost.exe

FileSize: 12800 bytes

Company Name: Microsoft Corporation

File Description: Generic Host Process for Win32 Services

File Version: 5.1.2600.0 (xpclient.010817-1148)

Internal Name: svchost.exe

Copyright: © Microsoft Corporation. All rights reserved.

Original Filename: svchost.exe

Product Name: Microsoft® Windows® Operating System

Product Version: 5.1.2600.0

--------------------

C:\WINDOWS\System32\svchost.exe

FileSize: 12800 bytes

Company Name: Microsoft Corporation

File Description: Generic Host Process for Win32 Services

File Version: 5.1.2600.0 (xpclient.010817-1148)

Internal Name: svchost.exe

Copyright: © Microsoft Corporation. All rights reserved.

Original Filename: svchost.exe

Product Name: Microsoft® Windows® Operating System

Product Version: 5.1.2600.0

--------------------

C:\WINDOWS\System32\svchost.exe

FileSize: 12800 bytes

Company Name: Microsoft Corporation

File Description: Generic Host Process for Win32 Services

File Version: 5.1.2600.0 (xpclient.010817-1148)

Internal Name: svchost.exe

Copyright: © Microsoft Corporation. All rights reserved.

Original Filename: svchost.exe

Product Name: Microsoft® Windows® Operating System

Product Version: 5.1.2600.0

--------------------

C:\WINDOWS\Explorer.EXE

FileSize: 1000448 bytes

Company Name: Microsoft Corporation

File Description: Explorateur Windows

File Version: 6.00.2800.1221 (xpsp2.030511-1403)

Internal Name: explorer

Copyright: © Microsoft Corporation. Tous droits réservés.

Original Filename: EXPLORER.EXE

Product Name: Système d'exploitation Microsoft® Windows®

Product Version: 6.00.2800.1221

--------------------

C:\WINDOWS\system32\spoolsv.exe

FileSize: 53248 bytes

Company Name: Microsoft Corporation

File Description: Spooler SubSystem App

File Version: 5.1.2600.1699 (xpsp2.050610-1533)

Internal Name: spoolsv.exe

Copyright: © Microsoft Corporation. All rights reserved.

Original Filename: spoolsv.exe

Product Name: Microsoft® Windows® Operating System

Product Version: 5.1.2600.1699

--------------------

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

FileSize: 1135728 bytes

Company Name: America Online, Inc.

File Description: AOL Connectivity Service

File Version: 2.0.20.1.FR.213

Internal Name: AOLacsd

Copyright: Copyright © 2003 America Online, Inc.

Original Filename: AOLacsd.exe

Product Name: AOL Connectivity Service

Product Version: 2.0.20.1.FR.213

--------------------

C:\WINDOWS\System32\sistray.EXE

FileSize: 303104 bytes

Company Name: Silicon Integrated Systems Corporation

File Description: SiS Compatible Super VGA Tray Application

File Version: 0.0.0.2081

Internal Name: SISTRAY 2.07k.00

Copyright: Copyright © Silicon Integrated Systems Corp. 1998-2002

Original Filename: SISTRAY.EXE

Product Name: SiS ® Compatible Super VGA SiSTray application for Windows NT4.0/2000/XP

Product Version: 0.0.0.2081

Comments: SiS Compatible Super VGA Tray Application

--------------------

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

FileSize: 53248 bytes

--------------------

C:\Program Files\Alwil Software\Avast4\ashServ.exe

FileSize: 98352 bytes

File Description: avast! antivirus service

File Version: 4, 6, 739, 0

Internal Name: aswServ

Copyright: Copyright © 2005 ALWIL Software

Original Filename: aswServ.exe

Product Name: avast! Antivirus

Product Version: 4, 6, 0, 0

--------------------

C:\WINDOWS\SOUNDMAN.EXE

FileSize: 46592 bytes

Company Name: Realtek Semiconductor Corp.

File Description: Realtek Sound Manager

File Version: 5.0.14

Internal Name: ALSMTray

Copyright: Copyright © 2001-2002 Realtek Semiconductor Corp.

Original Filename: ALSMTray.exe

Product Name: Realtek Sound Manager

Product Version: 5.0.14

Comments: Realtek AC97 Audio Sound Manager

--------------------

C:\WINDOWS\mHotkey.exe

FileSize: 472576 bytes

Company Name: Chicony

File Description: Chicony Multimedia Driver

File Version: 2, 2, 1, 0

Internal Name: Multimedia Hotkey Driver

Copyright: Copyright © 2001 Chicony

Original Filename: mHotkey.res

Product Name: Chicony Multimedia Driver

Product Version: 2, 2, 1, 0

--------------------

C:\Program Files\Real\RealPlayer\RealPlay.exe

FileSize: 26112 bytes

Company Name: RealNetworks, Inc.

File Description: RealPlayer

File Version: 6.0.9.584

Internal Name: REALPLAY

Copyright: Copyright © RealNetworks, Inc. 1995-2000

Trademark: RealAudio is a trademark of RealNetworks, Inc.

Original Filename: REALPLAY.EXE

Product Name: RealPlayer (32-bit)

Product Version: 6.0.9.584

--------------------

C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

FileSize: 684032 bytes

Company Name: Roxio

File Description: DirectCD Application

File Version: 5.3.3.6

Internal Name: DirectCD

Copyright: Copyright © 2001,2002, Roxio, Inc.

Original Filename: Directcd.exe

Product Name: DirectCD

Product Version: 5.3.3.6

--------------------

C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

FileSize: 80384 bytes

Company Name: TechCity Solutions France

File Description: Agent

File Version: 1.0.1.93

Internal Name: Agent

Copyright: Copyright © 2004 TechCity Solutions France

Trademark:

Original Filename: AOLAgent.exe

Product Name: TechCity Solutions France Agent

Product Version: 1.0.1.93

Comments:

--------------------

C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

FileSize: 496752 bytes

Company Name: America Online, Inc

File Description: AOL Connectivity Service Dialer

File Version: 2.0.20.1.FR.213

Copyright: Copyright © 2003 America Online, Inc.

Original Filename: AOLDial.exe

Product Name: AOL Connectivity Service

Product Version: 2.0.20.1.FR.213

--------------------

C:\Program Files\QuickTime\qttask.exe

FileSize: 98304 bytes

Company Name: Apple Computer, Inc.

File Version: 6.5.1

Internal Name: QuickTime Task

Copyright: © Apple Computer, Inc. 2001-2004

Original Filename: QTTask.exe

Product Name: QuickTime

Product Version: QuickTime 6.5.1

--------------------

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

FileSize: 98352 bytes

File Description: avast! service GUI component

File Version: 4, 6, 739, 0

Internal Name: aswDisp

Copyright: Copyright © 2005 ALWIL Software

Original Filename: aswDisp.exe

Product Name: avast! Antivirus

Product Version: 4, 6, 0, 0

--------------------

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

FileSize: 3404800 bytes

Company Name: Webroot Software, Inc.

File Description: Spy Sweeper Client Executable

File Version: 4,5,8,683

Copyright: Copyright © 2002 - 2005, All Rights Reserved.

Original Filename: SpySweeper.exe

Product Name: Spy Sweeper

Product Version: 4, 5

--------------------

C:\WINDOWS\system32\slserv.exe

FileSize: 45056 bytes

Company Name:

File Description: User-Level Modem Service

File Version: 2.80.00(24Apr2000)

Internal Name: slserv

Copyright: Copyright © 1999-2000

Trademark:

Original Filename: slserv.exe

Product Name: Modem

Product Version: 2.80.00

Comments:

--------------------

C:\WINDOWS\System32\svchost.exe

FileSize: 12800 bytes

Company Name: Microsoft Corporation

File Description: Generic Host Process for Win32 Services

File Version: 5.1.2600.0 (xpclient.010817-1148)

Internal Name: svchost.exe

Copyright: © Microsoft Corporation. All rights reserved.

Original Filename: svchost.exe

Product Name: Microsoft® Windows® Operating System

Product Version: 5.1.2600.0

--------------------

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

FileSize: 2159104 bytes

Company Name: Webroot Software, Inc.

File Description: Spy Sweeper SDK

File Version: 2,0,8,483

Copyright: Copyright © 2002 - 2005, All Rights Reserved.

Trademark: Spy Sweeper is a trademark of Webroot Software, Inc.

Original Filename: SpySweeper.exe

Product Name: Spy Sweeper SDK

Product Version: 2, 0

--------------------

C:\Program Files\Webroot\Desktop Firewall\webrootdesktopfirewall.exe

FileSize: 1907712 bytes

Company Name: Webroot Software, Inc.

File Description: Webroot Desktop Firewall Executable

File Version: 1.3.0.52

Copyright: Copyright © 2001-2005 Webroot Software, Inc.

Trademark: Webroot Desktop Firewall is a trademark of Webroot Software, Inc.

Product Name: Webroot Desktop Firewall

Product Version: 1.3

--------------------

C:\WINDOWS\System32\ctfmon.exe

FileSize: 13312 bytes

Company Name: Microsoft Corporation

File Description: CTF Loader

File Version: 5.1.2600.1106 (xpsp1.020828-1920)

Internal Name: CTFMON

Copyright: © Microsoft Corporation. All rights reserved.

Original Filename: CTFMON.EXE

Product Name: Microsoft® Windows® Operating System

Product Version: 5.1.2600.1106

--------------------

C:\Documents and Settings\sandra\Mes documents\Monitor.exe

FileSize: 57344 bytes

Company Name: OLYMPUS IMAGING CORP.

File Description: resident module

File Version: 1, 3, 0, 8

Internal Name: Monitor

Copyright: Copyright © 2004-2005 OLYMPUS IMAGING CORP.

Original Filename: Monitor.EXE

Product Name: OLYMPUS Master

Product Version: 1, 3, 0, 8

--------------------

C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLHostManager.exe

FileSize: 159832 bytes

Company Name: America Online, Inc.

File Description: AOLHostManager

File Version: 1.3.6.0

Internal Name: AOLHostManager

Copyright: © 2005 America Online, Inc.

Original Filename: AOLHostManager.exe

Product Name: AOL Service Libraries

Product Version: 1.3.6.0

--------------------

C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

FileSize: 102400 bytes

File Description: WinCinema Manager

File Version: 1.0

Internal Name: WinCinema Manager

Copyright: Copyright © 2000 InterVideo Inc.

Original Filename: WinCinemaMgr.EXE

Product Name: WinCinema Manager for InterVideo WinCinema products

Product Version: 1, 0, 0, 1

--------------------

C:\Program Files\Antipub\antipub.exe

FileSize: 674304 bytes

--------------------

C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLServiceHost.exe

FileSize: 151128 bytes

Company Name: America Online, Inc.

File Description: AOL

File Version: 1.3.6.0

Internal Name: AOLServiceHost

Copyright: © 2005 America Online, Inc.

Original Filename: AOLServiceHost.exe

Product Name: AOL Service Libraries

Product Version: 1.3.6.0

--------------------

C:\WINDOWS\System32\wdfmgr.exe

FileSize: 38912 bytes

Company Name: Microsoft Corporation

File Description: Windows User Mode Driver Manager

File Version: 5.2.3790.1230 built by: DNSRV(bld4act)

Internal Name: WdfMgr

Copyright: © Microsoft Corporation. All rights reserved.

Original Filename: WdfMgr.exe

Product Name: Microsoft® Windows® Operating System

Product Version: 5.2.3790.1230

--------------------

C:\WINDOWS\wanmpsvc.exe

FileSize: 65536 bytes

Company Name: America Online, Inc.

File Description: Wan Miniport (ATW) Service

File Version: 7, 0, 0, 2

Internal Name: WanMPSvc

Copyright: Copyright © 2001 America Online, Inc.

Original Filename: WanMPSvc.exe

Product Name: America Online

Product Version: 7, 0, 0, 2

--------------------

C:\WINDOWS\System32\wwSecure.exe

FileSize: 486400 bytes

Company Name: Webroot Software, Inc.

File Description: Washer Security Service

File Version: 6.0.1.10

Internal Name: wwSecure.exe

Copyright: © 1997, 2005 All Rights Reserved

Product Version: 6.0

--------------------

c:\program files\fichiers communs\aol\1132444734\ee\services\antiSpywareApp\ver2_0_12\AOLSP Scheduler.exe

FileSize: 1536 bytes

--------------------

C:\Program Files\Fichiers communs\AOL\1132444734\ee\AOLServiceHost.exe

FileSize: 151128 bytes

Company Name: America Online, Inc.

File Description: AOL

File Version: 1.3.6.0

Internal Name: AOLServiceHost

Copyright: © 2005 America Online, Inc.

Original Filename: AOLServiceHost.exe

Product Name: AOL Service Libraries

Product Version: 1.3.6.0

--------------------

C:\WINDOWS\System32\wbem\wmiprvse.exe

FileSize: 203776 bytes

Company Name: Microsoft Corporation

File Description: WMI

File Version: 5.1.2600.1106 (xpsp1.020828-1920)

Internal Name: Wmiprvse.exe

Copyright: © Microsoft Corporation. All rights reserved.

Original Filename: Wmiprvse.exe

Product Name: Microsoft® Windows® Operating System

Product Version: 5.1.2600.1106

--------------------

C:\Program Files\Webroot\Desktop Firewall\WDFDataService.exe

FileSize: 665600 bytes

Company Name: Webroot Software, Inc.

File Description: Webroot Desktop Firewall Event Logging Service

File Version: 2.0.0.419

Copyright: Copyright © 2001-2005 Webroot Software, Inc.

Trademark: Webroot Desktop Firewall is a trademark of Webroot Software, Inc.

Product Name: Webroot Desktop Firewall

Product Version: 1.3

--------------------

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

FileSize: 360496 bytes

Company Name: ALWIL Software

File Description: avast! Web Scanner

File Version: 4, 6, 739, 0

Internal Name: aswProxy

Copyright: Copyright © 2005 ALWIL Software

Original Filename: ashWebSv.exe

Product Name: avast! Antivirus

Product Version: 4, 6, 0, 0

--------------------

C:\Program Files\Webroot\Desktop Firewall\FirewallNTService.exe

FileSize: 192512 bytes

--------------------

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

FileSize: 241712 bytes

Company Name: ALWIL Software

File Description: avast! e-Mail Scanner Service

File Version: 4, 6, 739, 0

Internal Name: AvMaiSrv

Copyright: Copyright © 2005 ALWIL Software

Original Filename: AvMaiSrv.exe

Product Name: avast! Antivirus

Product Version: 4, 6, 0, 0

--------------------

C:\Program Files\AOL 9.0\waol.exe

FileSize: 259672 bytes

Company Name: America Online, Inc.

File Description: AOL

File Version: 9.00.002

Internal Name: WAOL

Copyright: Copyright © America Online, Inc. 1999 - 2004

Product Name: America Online

Product Version: 9.00.002

--------------------

C:\Program Files\AOL 9.0\shellmon.exe

FileSize: 38512 bytes

Company Name: America Online, Inc.

File Description: setupdb

File Version: 9.00.001

Internal Name: setupdb

Copyright: Copyright © America Online, Inc. 1999 - 2004

Product Name: AOL

Product Version: 9.00.001

--------------------

C:\Program Files\Fichiers communs\Aol\aoltpspd.exe

FileSize: 487518 bytes

Company Name: America Online Inc

File Description: AOL TopSpeed

File Version: 1, 1, 1, 0

Internal Name: AOL TopSpeed

Copyright: Copyright © America Online 2003

Trademark: AOL TopSpeed

Original Filename: aoltpspd.exe

Product Name: AOL TopSpeed

Product Version: [v1_r1.1-2] On Mon 11/29/2004 19:54:26.07

--------------------

C:\Documents and Settings\sandra\Bureau\RootkitRevealer.exe

FileSize: 97280 bytes

Company Name: Sysinternals - www.sysinternals.com

File Description: Rootkit detection utility

File Version: 1.60

Copyright: Copyright © 2005 Bryce Cogswell and Mark Russinovich

Product Name: Sysinternals Rootkitrevealer

Product Version: 1.60

--------------------

C:\Documents and Settings\sandra\Bureau\RootkitRevealer.exe

FileSize: 97280 bytes

Company Name: Sysinternals - www.sysinternals.com

File Description: Rootkit detection utility

File Version: 1.60

Copyright: Copyright © 2005 Bryce Cogswell and Mark Russinov

Posté(e)

dormi 4 heures, bonjour

 

deuxiéme essai pour écrire.

 

Contaminée de nouveau de tous les COOKIES HTTP + 1 SUR TREND MICRO.

WAOL.EXE qui me demande toujours, durant le scan, d'insérer un disque !

Scan terminé tout de même et nettoyage.

 

Petit bonhomme icone AOL pour AIM disparu de la barre d'outils depuis deux jours.

Les enregistrements de ce forum sont "contaminés" probablement. Impossible de jeter à la poubelle le dossier en double ou de le renommer : "processus en cours d'utilisation par une autre personne"...

dossier POTENTIALLY... vide ! Effacé, peut être par le scan (prévient que de gros dossiers peuvent disparaitre avec le nettoyage).

CD, dossiers probablement contaminés et réinfestation si utilisation : indétectable au scan.

 

fenêtre durant un autre scan, autre logiciel, : "reg toolkit.exe : il n'y a pas de disque...." Même processus qu'avec aol.exe.

Cette fenêtre s'ouvre alors que je veux mettre un dossier vide à la poubelle, mais je ne PEUX PAS.

 

Archivos temporalos : éternellement présents , TUNE UP me signale qu'il ne peut pas le supprimer.

Contient toujours des fichiers 0 byte "fms 6 tmp.............adobe reader", "fms 7 tmp..........' etc.

A mon avis ANORMAL ces fichiers éternels...

 

De suite, pour accéder au forum, difficile ...

En cliquant sur la ligne correspondant au site, placée dans mes "favoris", j'entends une succession d'une dizaine de gouttes d'eau !!!!!!!!!! (quelqu'un sait et voit, je maintiens ma position) Sinon comment expliquer "ces signes" et ces bruits simultanément ?

 

Pour avancer, il faudrait savoir par le biais de TREND MICRO à quoi correspondent les cookies numérotés qu'ils me détectent . Je ne peux pas leur envoyer un mail en anglais, je voulais acheter le logiciel ou "prendre des tickets" comme ils disent... Compliqué si pas en francais.

 

L'accès aux pages est différent : on nous demande d'ouvrir une nouvelle page, la case "répondre" n'est plus en bas de page du dernier message.

 

Je vois que le travail du scan ne dure que quelques heures et dés une nouvelle connexion, revient la lenteur, les dysfonctionnement et les cookies coriaces et indétectables.

Méditer chers amis, moi je me dis que le combat est sans fin : il faudrait examiner tout mon systéme et surtout qu'AOL soit un partenaire.

Je retourne au lit.

Merci, à plus

Posté(e) (modifié)

Bonjour Sandra, bonjour à tous

 

Bruit de « mitraillettes » sur certaines pages que je ferme.

 

Cela vient probablement du logiciel Antipub installé sur ton ordinateur et qui est censé éliminer les pages de publicité lors de la navigation.

 

Ce logiciel est, d'après ce que j'en ai lu, incompatible avec AOL et très capricieux avec Windows XP.

 

Je te conseille de le désinstaller et de le remplacer efficacement par la Google Toolbar pour IE qui élimine la plupart des popups.

Modifié par Tiana
Posté(e)

Bonjour Tiana, bonjour à tous,

 

Je te souhaite la bienvenue sur Zeb'Sécu et je te remercie pour ton post !

 

Si tu pouvais avoir mis le doigt sur la cause, ce serait super !... les bruits de gouttes d'eau, aussi ? :P

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...