Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Rapport d'analyse de mon amie

Liloute

Par Liloute
dans Analyses et éradication malwares

 Partager

Messages recommandés

Mark Godlike Member

Mark

Posté(e)
Posté(e) (modifié)

Eh ben...Kaspersky en trouve encore des méchants !! :P

 

À l'attaque ;

 

Lance KillBox en double-cliquant killbox.exe.

Choisis l'option "Delete on reboot".

 

Copie le texte en gras ci-bas (sélectionne, clic-droit >> "Copier") :

 

C:\WINDOWS\system32\eraseme_24203.exe

C:\WINDOWS\system32\cdfkmosp.dll

C:\WINDOWS\system32\ghgspjaw.dll

C:\WINDOWS\system32\eraseme_60515.exe

C:\WINDOWS\system32\ygngxkwl.dll

C:\WINDOWS\system32\gwkvnnqo.dll

C:\WINDOWS\system32\ldflmhyi.dll

C:\WINDOWS\system32\ttmyomya.dll

C:\WINDOWS\system32\bkqreiwf.dll

C:\WINDOWS\system32\kcogjvqj.dll

C:\WINDOWS\system32\cpyivvil.dll

C:\WINDOWS\system32\ncqaufca.dll

C:\WINDOWS\system32\gpogbhbu.dll

C:\WINDOWS\nav32.exe.mwt

C:\sjkkl.exe

 

Clique sur le menu 'File' de KillBox (en haut à gauche) et choisis Paste from clipboard

 

Tous les fichiers doivent maintenant apparaître dans la boîte "Full Path of File to Delete".

Si tu cliques sur la petite flèche à droite de cette boîte, tu devrais y voir tous les fichiers collés !

 

Clique sur le bouton : All Files (!important!)

 

Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc)

Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage.

Si tu ne reçois pas ce message, redémarre le PC normalement.

 

Après redémarrage, cherche et supprime ceci :

 

C:\WINDOWS\system32\i << dossier ou fichier ? peut importe...

 

Mets Ewido à jour, ferme le, puis redémarre en sans échec et passe un scan complet. Sauvegarde le rapport. Redémarre en Normal ; poste le rapport ici, avec un nouveau rapport HijackThis! également :P

Modifié par Qc001

Liloute Power Member

Liloute

Posté(e)
  • Auteur
Posté(e)

Voici le Ewido:

 

 

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 16:46:20, 14/02/2006

+ Somme de contrôle: 27B953F4

 

+ Résultats du scan:

 

C:\WINDOWS\system32\mljgg.dll -> Adware.Virtumonde : Nettoyer et sauvegarder

C:\WINDOWS\system32\pmkhg.dll -> Adware.Virtumonde : Nettoyer et sauvegarder

C:\WINDOWS\system32\geeby.dll -> Adware.Virtumonde : Nettoyer et sauvegarder

C:\WINDOWS\system32\jkhhf.dll -> Adware.Virtumonde : Nettoyer et sauvegarder

C:\WINDOWS\system32\sstts.dll -> Adware.Virtumonde : Nettoyer et sauvegarder

:mozilla.43:C:\Sauve\Documents and Settings\DRAGON\Application Data\Mozilla\Firefox\Profiles\m1dniwyi.default\cookies.txt -> TrackingCookie.Yadro : Nettoyer et sauvegarder

:mozilla.44:C:\Sauve\Documents and Settings\DRAGON\Application Data\Mozilla\Firefox\Profiles\m1dniwyi.default\cookies.txt -> TrackingCookie.Yadro : Nettoyer et sauvegarder

:mozilla.251:C:\Sauve\Documents and Settings\DRAGON\Application Data\Mozilla\Firefox\Profiles\m1dniwyi.default\cookies.txt -> TrackingCookie.Zedo : Nettoyer et sauvegarder

:mozilla.252:C:\Sauve\Documents and Settings\DRAGON\Application Data\Mozilla\Firefox\Profiles\m1dniwyi.default\cookies.txt -> TrackingCookie.Zedo : Nettoyer et sauvegarder

:mozilla.145:C:\Sauve\Documents and Settings\DRAGON\Application Data\Mozilla\Profiles\default\hu9pjgej.slt\cookies.txt -> TrackingCookie.Zedo : Nettoyer et sauvegarder

:mozilla.146:C:\Sauve\Documents and Settings\DRAGON\Application Data\Mozilla\Profiles\default\hu9pjgej.slt\cookies.txt -> TrackingCookie.Zedo : Nettoyer et sauvegarder

:mozilla.147:C:\Sauve\Documents and Settings\DRAGON\Application Data\Mozilla\Profiles\default\hu9pjgej.slt\cookies.txt -> TrackingCookie.Zedo : Nettoyer et sauvegarder

:mozilla.199:C:\Sauve\Documents and Settings\DRAGON\Application Data\Mozilla\Profiles\default\hu9pjgej.slt\cookies.txt -> TrackingCookie.Yadro : Nettoyer et sauvegarder

:mozilla.364:C:\Sauve\Documents and Settings\DRAGON\Application Data\Mozilla\Profiles\default\hu9pjgej.slt\cookies.txt -> TrackingCookie.Adrevolver : Nettoyer et sauvegarder

:mozilla.365:C:\Sauve\Documents and Settings\DRAGON\Application Data\Mozilla\Profiles\default\hu9pjgej.slt\cookies.txt -> TrackingCookie.Adrevolver : Nettoyer et sauvegarder

:mozilla.366:C:\Sauve\Documents and Settings\DRAGON\Application Data\Mozilla\Profiles\default\hu9pjgej.slt\cookies.txt -> TrackingCookie.Adrevolver : Nettoyer et sauvegarder

:mozilla.369:C:\Sauve\Documents and Settings\DRAGON\Application Data\Mozilla\Profiles\default\hu9pjgej.slt\cookies.txt -> TrackingCookie.Adrevolver : Nettoyer et sauvegarder

:mozilla.311:C:\Sauve\Documents and Settings\DRAGON\Application Data\Mozilla\Profiles\Default User\wtu55xzg.slt\cookies.txt -> TrackingCookie.Zedo : Nettoyer et sauvegarder

:mozilla.312:C:\Sauve\Documents and Settings\DRAGON\Application Data\Mozilla\Profiles\Default User\wtu55xzg.slt\cookies.txt -> TrackingCookie.Zedo : Nettoyer et sauvegarder

C:\Documents and Settings\Utilisateur\Cookies\utilisateur@estat[1].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder

C:\Documents and Settings\Utilisateur\Cookies\utilisateur@wreport.weborama[1].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\Utilisateur\Cookies\utilisateur@adtech[2].txt -> TrackingCookie.Adtech : Nettoyer et sauvegarder

C:\Documents and Settings\Utilisateur\Cookies\utilisateur@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

C:\Documents and Settings\Utilisateur\Cookies\utilisateur@weborama[2].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\Utilisateur\Cookies\utilisateur@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder

C:\Documents and Settings\Utilisateur\Cookies\utilisateur@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

C:\Documents and Settings\Utilisateur\Cookies\utilisateur@as1.falkag[1].txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder

:mozilla.53:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6ptnviv.default\cookies-3.txt -> TrackingCookie.Clickbank : Nettoyer et sauvegarder

:mozilla.252:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6ptnviv.default\cookies-1.txt -> TrackingCookie.Yadro : Nettoyer et sauvegarder

:mozilla.437:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6ptnviv.default\cookies-1.txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

:mozilla.438:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6ptnviv.default\cookies-1.txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

:mozilla.439:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6ptnviv.default\cookies-1.txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

:mozilla.440:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6ptnviv.default\cookies-1.txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

:mozilla.284:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6ptnviv.default\cookies-2.txt -> TrackingCookie.Yadro : Nettoyer et sauvegarder

:mozilla.447:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6ptnviv.default\cookies-2.txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

:mozilla.448:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6ptnviv.default\cookies-2.txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

:mozilla.449:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6ptnviv.default\cookies-2.txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

:mozilla.450:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6ptnviv.default\cookies-2.txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

:mozilla.53:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6ptnviv.default\cookies-4.txt -> TrackingCookie.Clickbank : Nettoyer et sauvegarder

:mozilla.53:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6ptnviv.default\cookies-5.txt -> TrackingCookie.Clickbank : Nettoyer et sauvegarder

C:\System Volume Information\_restore{73FA0109-2634-4D6E-9D48-C39ACE737CA1}\RP4\A0002079.tlb -> Downloader.Zlob.fu : Nettoyer et sauvegarder

C:\System Volume Information\_restore{73FA0109-2634-4D6E-9D48-C39ACE737CA1}\RP4\A0013985.exe -> Downloader.PurityScan.bs : Nettoyer et sauvegarder

C:\System Volume Information\_restore{73FA0109-2634-4D6E-9D48-C39ACE737CA1}\RP8\A0028210.exe.mwt -> Backdoor.SdBot.xd : Nettoyer et sauvegarder

C:\System Volume Information\_restore{73FA0109-2634-4D6E-9D48-C39ACE737CA1}\RP9\A0029484.exe -> Backdoor.SdBot.xd : Nettoyer et sauvegarder

C:\System Volume Information\_restore{73FA0109-2634-4D6E-9D48-C39ACE737CA1}\RP9\A0028428.exe -> Backdoor.SdBot.xd : Nettoyer et sauvegarder

C:\System Volume Information\_restore{73FA0109-2634-4D6E-9D48-C39ACE737CA1}\RP9\A0038582.exe -> Backdoor.SdBot.ajs : Nettoyer et sauvegarder

C:\System Volume Information\_restore{73FA0109-2634-4D6E-9D48-C39ACE737CA1}\RP10\A0039423.sys -> Backdoor.Agent.ub : Nettoyer et sauvegarder

C:\System Volume Information\_restore{73FA0109-2634-4D6E-9D48-C39ACE737CA1}\RP13\A0040460.exe -> Backdoor.SdBot.ajs : Nettoyer et sauvegarder

C:\System Volume Information\_restore{73FA0109-2634-4D6E-9D48-C39ACE737CA1}\RP13\A0040461.dll -> Logger.Agent.kg : Nettoyer et sauvegarder

C:\System Volume Information\_restore{73FA0109-2634-4D6E-9D48-C39ACE737CA1}\RP13\A0040462.dll -> Logger.Agent.kg : Nettoyer et sauvegarder

C:\System Volume Information\_restore{73FA0109-2634-4D6E-9D48-C39ACE737CA1}\RP13\A0040463.exe -> Backdoor.SdBot.ajs : Nettoyer et sauvegarder

C:\System Volume Information\_restore{73FA0109-2634-4D6E-9D48-C39ACE737CA1}\RP13\A0040464.dll -> Logger.Agent.kg : Nettoyer et sauvegarder

C:\System Volume Information\_restore{73FA0109-2634-4D6E-9D48-C39ACE737CA1}\RP13\A0040465.dll -> Logger.Agent.kg : Nettoyer et sauvegarder

C:\System Volume Information\_restore{73FA0109-2634-4D6E-9D48-C39ACE737CA1}\RP13\A0040466.dll -> Logger.Agent.kg : Nettoyer et sauvegarder

C:\System Volume Information\_restore{73FA0109-2634-4D6E-9D48-C39ACE737CA1}\RP13\A0040467.dll -> Logger.Agent.kg : Nettoyer et sauvegarder

C:\System Volume Information\_restore{73FA0109-2634-4D6E-9D48-C39ACE737CA1}\RP13\A0040468.dll -> Logger.Agent.kg : Nettoyer et sauvegarder

C:\System Volume Information\_restore{73FA0109-2634-4D6E-9D48-C39ACE737CA1}\RP13\A0040469.dll -> Logger.Agent.kg : Nettoyer et sauvegarder

C:\System Volume Information\_restore{73FA0109-2634-4D6E-9D48-C39ACE737CA1}\RP13\A0040470.dll -> Logger.Agent.kg : Nettoyer et sauvegarder

C:\System Volume Information\_restore{73FA0109-2634-4D6E-9D48-C39ACE737CA1}\RP13\A0040471.dll -> Logger.Agent.kg : Nettoyer et sauvegarder

C:\System Volume Information\_restore{73FA0109-2634-4D6E-9D48-C39ACE737CA1}\RP13\A0040472.dll -> Logger.Agent.kg : Nettoyer et sauvegarder

C:\System Volume Information\_restore{73FA0109-2634-4D6E-9D48-C39ACE737CA1}\RP13\A0040473.exe -> Proxy.Small.eb : Nettoyer et sauvegarder

C:\!KillBox\winlogon.exe -> Backdoor.SdBot.xd : Nettoyer et sauvegarder

C:\!KillBox\sjkkl.exe -> Proxy.Small.eb : Nettoyer et sauvegarder

C:\!KillBox\nav32.exe.mwt -> Backdoor.SdBot.xd : Nettoyer et sauvegarder

C:\!KillBox\gpogbhbu.dll -> Logger.Agent.kg : Nettoyer et sauvegarder

C:\!KillBox\ncqaufca.dll -> Logger.Agent.kg : Nettoyer et sauvegarder

C:\!KillBox\cpyivvil.dll -> Logger.Agent.kg : Nettoyer et sauvegarder

C:\!KillBox\kcogjvqj.dll -> Logger.Agent.kg : Nettoyer et sauvegarder

C:\!KillBox\bkqreiwf.dll -> Logger.Agent.kg : Nettoyer et sauvegarder

C:\!KillBox\ttmyomya.dll -> Logger.Agent.kg : Nettoyer et sauvegarder

C:\!KillBox\ldflmhyi.dll -> Logger.Agent.kg : Nettoyer et sauvegarder

C:\!KillBox\gwkvnnqo.dll -> Logger.Agent.kg : Nettoyer et sauvegarder

C:\!KillBox\ygngxkwl.dll -> Logger.Agent.kg : Nettoyer et sauvegarder

C:\!KillBox\eraseme_60515.exe -> Backdoor.SdBot.ajs : Nettoyer et sauvegarder

C:\!KillBox\ghgspjaw.dll -> Logger.Agent.kg : Nettoyer et sauvegarder

C:\!KillBox\cdfkmosp.dll -> Logger.Agent.kg : Nettoyer et sauvegarder

C:\!KillBox\eraseme_24203.exe -> Backdoor.SdBot.ajs : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

et le HijackThis:

 

 

Logfile of HijackThis v1.99.1

Scan saved at 17:16:23, on 14/02/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\windows\System32\smss.exe

C:\windows\SYSTEM32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\windows\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\windows\System32\svchost.exe

C:\windows\Explorer.EXE

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\windows\winlogon.exe

C:\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\windows\System32\msdxm.ocx

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: CD-MENU.LNK = ?

O4 - Startup: OpenOffice.org 1.1.5.lnk = C:\Program Files\OpenOffice.org1.1.5\program\crashrep.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: AOL instant messenger 7.0 (aol7.0) - Unknown owner - C:\windows\winlogon.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

S.Birkoff Full Patch Member

S.Birkoff

Posté(e)
Posté(e)

Bonsoir Liloute, Qc001 :-P, à tou(te)s,

 

Ewido a bien bossé. Il a encore reniflé du virtumundo...j'hésite à te refaire passer VundoFix. Nous allons déjà nettoyer ton système de restauration qui d'après Ewido est infecté :

 

Désactive puis réactive ta restauration système (aide : ici)

 

Le log hijackthis ne montre rien sauf que ce fichu fichier est revenu :

C:\windows\winlogon.exe

 

Qc001 ta deja fait essayé Killbox...et la bestiole est revenue quand même :P

 

J'aimerais l'avis de Qc001 sur l'alternative consistant à faire supprimer via la console de récupération...?

 

Je ne m'incruste pas plus :P

 

Bonne soirée

Birkoff

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Salut S.Birkoff :P , et bonsoir Liloute :-P

 

Incroyable... mais vrai !! Il est revenu ce winlogon...

 

Les fichiers de Vundo ne semblent pas actifs, donc VundoFix n'y verrait rien (je crois..). Je vais tenter une dernière manip conventionnelle, et ensuite on partira à la chasse aux rootkits, si nécessaires.

 

Ok Liloute, voici la suite :

 

En mode Normal : "Démarrer" >> "Exécuter" >> tape cmd et clique Ok

- Tape ces deux lignes, en validant avec "Entrée" après chacune :

 

sc stop aol7.0 [Entrée]

sc delete aol7.0 [Entrée]

exit [Entrée]

 

Lance KillBox :

 

- Coche "Delete on Reboot"

- Colle ceci dans la boîte "Full Path of File to Delete" :

 

C:\windows\winlogon.exe

 

- Clique le bouton Kill

- Réponds "Yes" à la question "Would you like to reboot now ?"

 

Lorsque redémarré, lance HijackThis! et fixe cette ligne, si elle existe toujours :

 

O23 - Service: AOL instant messenger 7.0 (aol7.0) - Unknown owner - C:\windows\winlogon.exe

 

...possible qu'elle affiche "(file missing)" à la fin.

===============================

 

Passe un nouveau scan avec Spy Sweeper, et sauvegarde le rapport. Poste le rapport ici, avec un nouveau rapport HijackThis!

 

Dis-nous également s'il y a des dysfonctionnements avec la bécane (popups, erreurs, etc..). Gros canons à la prochaine étape, si nécessaire :P

Mark Godlike Member

Mark

Posté(e)
Posté(e) (modifié)

Salut Liloute :P

 

Pour la restauration système... Moi, perso, je la laisse intacte jusqu'à la toute fin. Toutes les compagnies d'antivirus et même Microsoft nous disent de la désactiver dès qu'un virus est détecté ; je ne le fais pas, parce que si un fix tourne mal, tu peux toujours "restaurer" avec un point infecté, et on nettoie à nouveau. Si ta restauration est vide, ben ça peut finir en formatage. De tels cas sont extrêmement rares par contre.. donc le risque associé à la désactivation durant un fix est très mince. Moi, je joue d'extrême prudence...

 

Je vais te faire passer RegSearch, comme l'a fait Charly précédemment :P , lorsque vous aurez terminé avec mes manips du poste précédent (suppression du Service, KillBox et Spy Sweeper).

 

- double clique sur RegSearch.exe

- copie colle l'entrée en bleu dans la première ligne de la zone de recherche:

 

aol7.0

 

- rien dans la ligne "Enter string to exclude from results"

- clique sur OK

- après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées

- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch

- copie-colle le contenu de la fenêtre dans un post, ici

- ferme le bloc-notes

- ferme RegSearch par Cancel

 

Tu colleras donc les résultats de RegSearch, le rapport de Spy Sweeper et un nouveau rapport HijackThis! dans ta prochaine réponse. Merci..

Modifié par Qc001
Liloute Power Member

Liloute

Posté(e)
  • Auteur
Posté(e)

Hop!

Le regsearch:

 

 

 

REGEDIT4

 

; Registry Search 2.0 by Bobbi Flekman © 2005

; Version: 2.0.0.1

 

; Results at 16/02/2006 18:31:16 for strings:

; 'aol7.0'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_AOL7.0]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_AOL7.0\0000]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_AOL7.0\0000]

"Service"="aol7.0"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_AOL7.0]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_AOL7.0\0000]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_AOL7.0\0000]

"Service"="aol7.0"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AOL7.0]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AOL7.0\0000]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AOL7.0\0000]

"Service"="aol7.0"

 

; End Of The Log...

 

 

le hijackthis:

 

Logfile of HijackThis v1.99.1

Scan saved at 23:44:36, on 16/02/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\windows\System32\smss.exe

C:\windows\SYSTEM32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\windows\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\windows\System32\svchost.exe

C:\windows\Explorer.EXE

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\windows\mscdex.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\iTunes\iTunes.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\windows\System32\msdxm.ocx

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: CD-MENU.LNK = ?

O4 - Startup: OpenOffice.org 1.1.5.lnk = C:\Program Files\OpenOffice.org1.1.5\program\crashrep.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll

O20 - Winlogon Notify: WRNotifier - C:\windows\SYSTEM32\WRLogonNTF.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: windows virus scanner (windows antivirus) - Unknown owner - C:\windows\nav32.exe (file missing)

O23 - Service: windows rom driver (windows cdrom) - Unknown owner - C:\windows\mscdex.exe

 

pour le spy sweeper, mon amie n'a pas eu de rapport text, mais des indésirables ont été trouvés et détruits avec le scan..

 

pour ce qui est des dysfonctionnements:

 

machine lente

certains programmes se bloquent (apres un redémarrage ca devient + fluide et ca se rebloque quelques temps après)

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Merci Liloute :P

 

Bon, ben aol7.0 n'est plus là, et les clés Legacy trouvées ne sont pas dangeureuses. Par contre, windows antivirus a réapparu et windows cdrom se pointe... :P

 

Je vais lui faire passer un scan avec Silent Runners, puis un autre avec BlackLight :

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Télécharge SilentRunners du lien suivant, et sauvegarde-le sur le Bureau:

http://www.silentrunners.org/Silent%20Runners.zip

 

Extrait le contenu (fichier) sur le Bureau . Double-clique sur le fichier "silentrunners.vbs" : une fenêtre va s'ouvrir ,clique sur "Oui". **Note : si ton antivirus ou autre programme résident t'averti qu'un script tente d'être lancé, accepte.

Un rapport sera généré sur ton Bureau (Startup Programs) ; copie/colle le rapport dans ta prochaine réponse.

=====================

 

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

~~~~~~~~~~~~~

 

Courage...lol !!

Liloute Power Member

Liloute

Posté(e)
  • Auteur
Posté(e)

Voici chef :P :

 

Avec Silent Runners:

 

"Silent Runners.vbs", revision 43, http://www.silentrunners.org/

Operating System: Windows XP

Output limited to non-default values, except where indicated by "{++}"

 

 

Startup items buried in registry:

---------------------------------

 

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"msnmsgr" = ""C:\Program Files\MSN Messenger\msnmsgr.exe" /background" [MS]

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"AVG7_CC" = "C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."]

"TkBellExe" = ""C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]

"SpySweeper" = ""C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray" ["Webroot Software, Inc."]

 

HKLM\Software\Microsoft\Active Setup\Installed Components\

>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"

\StubPath = "C:\windows\system32\shmgrate.exe OCInstallUserConfigOE" [MS]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"

-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]

"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]

"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]

"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]

"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]

"{8FF88D21-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.6b5 (beta test) Context Menu Shell Extension"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinAce\arcext.dll" ["e-merge GmbH"]

"{8FF88D25-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.6b5 (beta test) DragDrop Shell Extension"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinAce\arcext.dll" ["e-merge GmbH"]

"{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.6b5 (beta test) Context Menu Shell Extension"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinAce\arcext.dll" ["e-merge GmbH"]

"{8FF88D23-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.6b5 (beta test) Property Sheet Shell Extension"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinAce\arcext.dll" ["e-merge GmbH"]

"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice Property Sheet Handler"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\OpenOffice.org1.1.5\program\shlxthdl.dll" ["Sun Microsystems, Inc."]

"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]

"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]

"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]

"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]

"{7C9D5882-CB4A-4090-96C8-430BFE8B795B}" = "Webroot Spy Sweeper Context Menu Integration"

-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Webroot\SPYSWE~1\SSCtxMnu.dll" ["Webroot Software, Inc."]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\

INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"]

 

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\

INFECTION WARNING! "AppInit_DLLs" = " sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll" [file not found]

 

HKLM\System\CurrentControlSet\Control\Session Manager\

INFECTION WARNING! "BootExecute" = "autocheck autochk * SsiEfr.e SsiEfr.e SsiEfr.e" [file not found], [MS], [file not found], [file not found], [file not found], [file not found]

 

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

INFECTION WARNING! WRNotifier\DLLName = "WRLogonNTF.dll" ["Webroot Software, Inc."]

 

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]

ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ewido anti-malware\context.dll" ["ewido networks"]

ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinAce\arcext.dll" ["e-merge GmbH"]

 

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ewido anti-malware\context.dll" ["ewido networks"]

ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinAce\arcext.dll" ["e-merge GmbH"]

 

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]

SpySweeper\(Default) = "{7C9D5882-CB4A-4090-96C8-430BFE8B795B}"

-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Webroot\SPYSWE~1\SSCtxMnu.dll" ["Webroot Software, Inc."]

 

 

Active Desktop and Wallpaper:

-----------------------------

 

Active Desktop is disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

 

HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\windows\web\wallpaper\Colline verdoyante.bmp"

 

 

Startup items in "Utilisateur" & "All Users" startup folders:

-------------------------------------------------------------

 

C:\Documents and Settings\Utilisateur\Menu Démarrer\Programmes\Démarrage

"CD-MENU" -> shortcut to: "" [file not found]

"OpenOffice.org 1.1.5" -> shortcut to: "C:\Program Files\OpenOffice.org1.1.5\program\crashrep.exe" [null data]

 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage

"DSLMON" -> shortcut to: "C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe /W" [empty string]

 

 

Enabled Scheduled Tasks:

------------------------

 

"wrSpySweeperTrialSweep" -> launches: "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe /ScheduleSweep=wrSpySweeperTrialSweep" ["Webroot Software, Inc."]

 

 

Winsock2 Service Provider DLLs:

-------------------------------

 

Namespace Service Providers

 

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

 

Transport Service Providers

 

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

 

 

Toolbars, Explorer Bars, Extensions:

------------------------------------

 

Toolbars

 

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]

-> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."]

 

HKLM\Software\Microsoft\Internet Explorer\Toolbar\

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]

-> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."]

 

Extensions (Tools menu items, main toolbar menu buttons)

 

HKLM\Software\Microsoft\Internet Explorer\Extensions\

{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\

"MenuText" = "Console Java (Sun)"

"CLSIDExtension" = "{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBC}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll" ["Sun Microsystems, Inc."]

 

 

Miscellaneous IE Hijack Points

------------------------------

 

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

 

Added lines (compared with English-language version):

[strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"

 

Missing lines (compared with English-language version):

[strings]: 1 line

 

 

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------

 

AVG7 Alert Manager Server, Avg7Alrt, "C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe" ["GRISOFT, s.r.o."]

AVG7 Update Service, Avg7UpdSvc, "C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe" ["GRISOFT, s.r.o."]

ewido security suite control, ewido security suite control, "C:\Program Files\ewido anti-malware\ewidoctrl.exe" ["ewido networks"]

Webroot Spy Sweeper Engine, svcWRSSSDK, "C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe" ["Webroot Software, Inc."]

windows rom driver, windows cdrom, ""C:\windows\mscdex.exe"" [null data]

 

 

----------

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

launch it from a command prompt or a shortcut with the -all parameter.

+ To search all directories of local fixed drives for DESKTOP.INI

DLL launch points and all Registry CLSIDs for dormant Explorer Bars,

use the -supp parameter or answer "No" at the first message box.

---------- (total run time: 109 seconds, including 5 seconds for message boxes)

 

 

 

Avec BlackLight:

 

02/17/06 01:52:18 [info]: BlackLight Engine 1.0.30 initialized

02/17/06 01:52:18 [info]: OS: 5.1 build 2600 (Service Pack 1)

02/17/06 01:52:18 [Note]: 7019 4

02/17/06 01:52:18 [Note]: 7005 0

02/17/06 01:54:07 [Note]: 7006 0

02/17/06 01:54:07 [Note]: 7011 760

02/17/06 01:54:08 [Note]: FSRAW library version 1.7.1014

02/17/06 01:56:12 [Note]: 7007 0

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...