Zolob virus recalcitrant!

Ranma · le 1 avril 2006

mesdames et messieurs bonjour,

J' ai suivi cette rubrique et les conseils qui y sont prodigués afin de résoudre mon problème de virus.

J'ai donc suivi les recommendatioins à la lettre. A savoir un scan antivir sous mode sans échec. et un scan Hijackthis en mode normal. Je vous poste les deux rapports. Tout fois il semble que le virus zolob trojan demeure sur ma machine. j'attends vos conseils si possible:

Rapport Anti vir

Report file date: samedi 1 avril 2006 09:01

Jobname: 'Local Drives'

Scanning for 345627 virus strains and unwanted programs.

Licensed to: AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: fnac

Computer name: FNAC-WN4KNF6VC6

Version informations:

AVSCAN.EXE : 7.0.0.30 536616 21/03/2006 13:48:28

AVSCAN.DLL : 7.0.0.30 40488 21/03/2006 13:48:28

LUKE.DLL : 7.0.0.30 114728 21/03/2006 13:48:28

LUKERES.DLL : 7.0.0.30 25600 21/03/2006 13:48:28

ANTIVIR0.VDF : 6.32.0.60 4323840 27/03/2006 09:11:45

ANTIVIR1.VDF : 6.34.0.105 1669120 01/04/2006 06:22:20

ANTIVIR2.VDF : 6.34.0.106 1536 01/04/2006 06:22:20

ANTIVIR3.VDF : 6.34.0.126 38912 01/04/2006 06:22:20

AVEWIN32.DLL : 7.0.0.3 1167872 28/02/2006 16:06:46

AVPREF.DLL : 6.34.0.0 38440 18/01/2006 12:06:00

AVREP.DLL : 6.34.0.100 2461736 27/03/2006 09:11:50

AVPACK32.DLL : 6.33.0.6 331816 09/01/2006 09:03:37

AVREG.DLL : 6.31.0.90 27688 28/07/2005 10:06:36

NETNT.DLL : 6.32.0.0 6696 27/09/2005 07:56:49

NETNW.DLL : 6.32.0.0 9768 27/09/2005 07:56:49

Start of the scan: samedi 1 avril 2006 09:01

Start scanning boot sectors:

Boot sector 'C:'

[NOTE] No virus was found!

Starting to scan the registry.

The registry was scanned ( 59 files ).

Starting the file scan:

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\fnac\NTUSER.DAT

[WARNING] The file could not be opened!

C:\Documents and Settings\fnac\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\fnac\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\fnac\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\fnac\Local Settings\Temp\Process.exe

[DETECTION] Contains signature of the SPR/Processor.20 program

[iNFO] The file was deleted!

C:\Documents and Settings\fnac\Local Settings\Temp\SmitfraudFix.zip

[0] Archive type: ZIP

--> SmitfraudFix/Process.exe

[DETECTION] Contains signature of the SPR/Processor.20 program

[iNFO] The file was deleted!

C:\Documents and Settings\NetworkService\NTUSER.DAT

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\hpAC8B.tmp

[DETECTION] Is the Trojan horse TR/Drop.Zlob.GW.1

[iNFO] The file was deleted!

C:\WINDOWS\system32\ldFDB9.tmp

[DETECTION] Is the Trojan horse TR/Drop.Zlob.JT.2

[iNFO] The file was deleted!

C:\WINDOWS\system32\config\default

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\default.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system.LOG

[WARNING] The file could not be opened!

The path D:\ could not be found!

Le périphérique n'est pas prêt.

End of the scan: samedi 1 avril 2006 13:00

Used time: 3:58:47 min

The scan has been done completely.

3521 Scanning directories

147195 Files were scanned

4 viruses and/or unwanted programs was found

4 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

766 Archives were scanned

38 Warnings

0 Notes

Logfile of HijackThis v1.99.1

Scan saved at 13:25:47, on 01/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\nvctrl.exe

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Wireless 11Mbps Network\XPFix.exe

C:\WINDOWS\System32\LVCOMSX.EXE

C:\Program Files\Logitech\Video\LogiTray.exe

C:\PROGRA~1\MESSAG~1\StartMessager.exe

C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\Program Files\Wiziway\Clicker\TagClick.exe

C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\fnac\Bureau\Docs divers\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll (file missing)

O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hpAC8B.tmp (file missing)

O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll (file missing)

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll (file missing)

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Alice] C:\Program Files\Wireless 11Mbps Network\XPFix.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH

O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo

O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [Clicker] C:\Program Files\Wiziway\Clicker\TagClick.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll (file missing)

O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by109fd.bay109.hotmail.msn.com/resources/MsnPUpld.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6223F7AC-9221-498D-BBAE-8034D7095962}: NameServer = 80.118.192.100,80.118.196.36

O17 - HKLM\System\CCS\Services\Tcpip\..\{D262F96E-029C-4176-9DD0-F6CB0D924C05}: NameServer = 80.118.192.100,80.118.196.36

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\Nvc\BIN\NJEEVES.EXE (file missing)

O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\NVC\BIN\Zanda.exe (file missing)

O23 - Service: Norman Virus Control on-access component (nvcoas) - Unknown owner - C:\NORMAN\Nvc\BIN\nvcoas.exe (file missing)

O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Unknown owner - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE (file missing)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

chuki · le 1 avril 2006

bonjours

Telecharger ewido securiter suite a cette adresse : http://www.infos-du-net.com/telecharger/Ew...rity-Suite.html

Fait un scan avec en mode sans echec sauve le raport et refait moi un raport hijackthis

Aussi telecharger avast instale le et desinstal antivir car 2 antivirus sur un pc peux causer de nombreux degat

Tu trouvera avast ici: http://www.avast.com/eng/download-avast-home.html

et fait un scan avec. Par contre enregistre toi pour optenir un code sinon avast nest disponible que 30 jours (antivirus gratuit)

Avast est un antivirus des plus performant en antivirus gratuit

salut

Modifié le 1 avril 2006 par chuki

chuki · le 1 avril 2006

voila les ligne qui contiennent des virus et autre

C:\WINDOWS\system32\nvctrl.exe

O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hpAC8B.tmp (file missing)

O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll (file missing)

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll (file missing)

O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll (file missing)

O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll (file missing)

O17 - HKLM\System\CCS\Services\Tcpip\..\{6223F7AC-9221-498D-BBAE-8034D7095962}: NameServer = 80.118.192.100,80.118.196.36

O17 - HKLM\System\CCS\Services\Tcpip\..\{D262F96E-029C-4176-9DD0-F6CB0D924C05}: NameServer = 80.118.192.100,80.118.196.36

Pour linstans je ne te dirais pas coment enlever toutes les ligne que jai citer je vais atendre le prochain rapport hijackthis ou tu aura fait un scan ewido et avast(pensse a le metre a jours avast tres important)

angelique · le 1 avril 2006

dis donc,'soir chuki,abstients toi de lui dire que ses 017 sont pas bonne si neuf telecom est son provider,merci!!

et nullement besoin d'avast!!

La procédure est faite ainsi sur zébulon,autant la respecter merci!!

inetnum: 80.118.192.0 - 80.118.201.255
netname: N9UF-INFRA

descr: Gaoland backbone

country: FR

admin-c: LD699-RIPE

tech-c: LDC76-RIPE

status: ASSIGNED PA

remarks: *************************************************************

remarks: * For spam & abuse issues please email to abuse@gaoland.net *

remarks: *************************************************************

mnt-by: LDCOM-MNT

changed: julien.tayon@neuf.com 20040323

changed: lir@gaoland.net 20050203

source: RIPE

role: LDCOM Legal Contact

address: neuf telecom

address: Immeuble Quai Ouest

address: 40-42 Quai du point du jour

address: 92659 Boulogne Billancourt

address: France

fax-no: +33 1 58 63 18 18

admin-c: LD699-RIPE

Laisses faire nos conseillers sécu,qui ont certainement plus d'expérience et une méthode concrete,propre et ordonnée de désinfection!!!!

Ranma · le 2 avril 2006

Merci pour vos conseils

Mais je suis perdu, vous me donnez deux conseils différents.

Au final je dois faire quoi?

refaire un scan hijackthis ou refaire un scan antivir ou avast en mode sans échec?

Merci pour votre aide.

chuki · le 2 avril 2006

bonjours

desoler si je nutilise pas vos methode pour la desinfection. La prochiane foi je ne conseillerais plus alors!

Je voulais seulement aider mais si vous voulez pas que j'aide je naiderais plus.

Moi ce je dit c'est en conaissance de cause comme je me suis pris plein de virus trojen et tous je voulais conseiller mais si vous voulez le faire faite le! sa ne me derange pas du tous loin de la!

Au revoir

Modifié le 2 avril 2006 par chuki

S.Birkoff · le 2 avril 2006

Bonjour Ranma, chuki, Angelique

Chuki :

C'est une bonne chose de vouloir aider, mais ce n'est pas une bonne chose de s'entrainer en "live". Non seulement tu stresses la victime, mais tu risques de lui faire faire des bétises (là par exemple perte de la connexion internet...). Merci Angelique d'être passé

Ranma :

Ton log hijackthis ne montre pas grand chose, si ce n'est un processus malicieux que l'on peut retrouver chez Smitfraud. Je vois aussi que tu as dejà téléchargé/utilisé Smitfraudfix...

On va faire un rapport de SmitfraudFix pour voir ce qu'il nous trouve, et on va scanner avec Ewido qui s'occupe normalement de Zlob.

1/

(WinXP, Win2K)
Télécharger SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Dézipper la totalité de l'archive smitfraudfix.zip

Utilisation ----- option 1 - Recherche :

Double cliquer sur smitfraudfix.cmd

Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

Poster le rapport sur le forum.

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

http://www.beyondlogic.org/consulting/proc...processutil.htm

2/

Télécharge la version d'évaluation d'Ewido:
http://www.ewido.net/fr/

Installe et mets à jour.

Important: Pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu".

Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur mise à jour, attendre la fin de cette mise à jour puis, ferme le programme.

Redémarre en mode Sans Échec (au démarrage, tapote immédiatement la touche F8, puis tu verras un écran avec choix de démarrages : choisis "Mode sans échec" avec les flèches du clavier, puis valide avec "Entrée". Choisis ton compte usuel (et non Administrateur). Relance Ewido et clique sur scanner puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections".

A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau. Redémarre en mode normal.

3/ Une fois en mode normal, vérifie que ce processus n'existe plus (assure toi d'afficher les fichiers cachés) :

C:\WINDOWS\system32\nvctrl.exe

Poste nous le rapport de SmitFraudFix ainsi que le rapport d'Ewido.

Bon dimanche

Birkoff

Modifié le 2 avril 2006 par S.Birkoff

Ranma · le 2 avril 2006

S.Birkoff merci pour ton aide:

j'ai effectué un scan ewido:

Résultats du scan:

HKLM\SOFTWARE\Classes\CLSID\{2178F3FB-2560-458f-BDEE-631E2FE0DFE4} -> Adware.WinAntiVirus : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\CLSID\{4da4616d-7e6e-4fd9-a2d5-b6c535733e22} -> Adware.Generic : Nettoyer et sauvegarder

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{4da4616d-7e6e-4fd9-a2d5-b6c535733e22} -> Adware.Generic : Nettoyer et sauvegarder

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4da4616d-7e6e-4fd9-a2d5-b6c535733e22} -> Adware.Generic : Nettoyer et sauvegarder

HKU\S-1-5-21-1123561945-1547161642-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{4DA4616D-7E6E-4FD9-A2D5-B6C535733E22} -> Adware.Generic : Nettoyer et sauvegarder

HKU\S-1-5-21-1123561945-1547161642-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4DA4616D-7E6E-4FD9-A2D5-B6C535733E22} -> Adware.Generic : Nettoyer et sauvegarder

HKU\S-1-5-21-1123561945-1547161642-725345543-1005\Software\Classes\CLSID\{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D} -> Adware.SpyFalcon : Nettoyer et sauvegarder

HKU\S-1-5-21-1123561945-1547161642-725345543-1005_Classes\CLSID\{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D} -> Adware.SpyFalcon : Nettoyer et sauvegarder

:mozilla.7:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder

:mozilla.21:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyer et sauvegarder

:mozilla.29:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder

:mozilla.31:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Advertising : Nettoyer et sauvegarder

:mozilla.35:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Estat : Nettoyer et sauvegarder

:mozilla.39:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

:mozilla.40:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

:mozilla.48:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Clickbank : Nettoyer et sauvegarder

:mozilla.50:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Googleadservices : Nettoyer et sauvegarder

:mozilla.51:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

:mozilla.52:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

:mozilla.53:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

:mozilla.57:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

:mozilla.58:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder

:mozilla.71:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Adtech : Nettoyer et sauvegarder

:mozilla.72:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Adtech : Nettoyer et sauvegarder

:mozilla.73:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder

:mozilla.74:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder

:mozilla.75:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder

:mozilla.76:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder

:mozilla.80:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Webtrendslive : Nettoyer et sauvegarder

:mozilla.83:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Sitestat : Nettoyer et sauvegarder

:mozilla.88:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Sitestat : Nettoyer et sauvegarder

:mozilla.89:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Sitestat : Nettoyer et sauvegarder

:mozilla.90:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Sitestat : Nettoyer et sauvegarder

:mozilla.95:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Googleadservices : Nettoyer et sauvegarder

:mozilla.106:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder

:mozilla.107:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder

:mozilla.114:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Hitbox : Nettoyer et sauvegarder

:mozilla.115:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Hitbox : Nettoyer et sauvegarder

:mozilla.127:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder

:mozilla.128:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder

:mozilla.129:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder

:mozilla.130:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder

:mozilla.142:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder

:mozilla.145:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Sexcounter : Nettoyer et sauvegarder

:mozilla.146:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.Sexcounter : Nettoyer et sauvegarder

:mozilla.148:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder

:mozilla.149:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder

:mozilla.150:C:\Documents and Settings\fnac\Application Data\Mozilla\Firefox\Profiles\nbqgu5qd.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder

C:\Documents and Settings\fnac\Cookies\fnac@as1.falkag[1].txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder

C:\Documents and Settings\fnac\Cookies\fnac@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder

C:\Documents and Settings\fnac\Cookies\fnac@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

C:\Documents and Settings\fnac\Cookies\fnac@counter9.sextracker[2].txt -> TrackingCookie.Sextracker : Nettoyer et sauvegarder

C:\Documents and Settings\fnac\Cookies\fnac@cs.sexcounter[2].txt -> TrackingCookie.Sexcounter : Nettoyer et sauvegarder

C:\Documents and Settings\fnac\Cookies\fnac@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder

C:\Documents and Settings\fnac\Cookies\fnac@sexlist[1].txt -> TrackingCookie.Sexlist : Nettoyer et sauvegarder

C:\Documents and Settings\fnac\Cookies\fnac@sextracker[1].txt -> TrackingCookie.Sextracker : Nettoyer et sauvegarder

C:\Documents and Settings\fnac\Cookies\fnac@weborama[2].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

voici le rapport hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 15:09:33, on 02/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe