PC INFECTE

arnaud paris · le 13 juin 2006

Bonjour,

Mon pc a été infécté. J'ai lancé une analyse avec Spy Sweeper qui a néttoyé pas mal de choses.

Néanmoins, ma page d'accueil de Internet Explorer , normalement Google, est devenu http://www.safetyuptodate.net/.

Je souhaiterais donc une aide pour vérifier et éliminer les traces restantes.

J'ai suivi la procédure indiquée, antivir, affichage des dossier cavhés, vidage de la corbeille Etc;

Voici le rapport Hijack This, merci de votre aide :

Logfile of HijackThis v1.99.1

Scan saved at 08:32:03, on 13/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\ehome\ehtray.exe

C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Apps\Softex\OmniPass\scureapp.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Apps\Softex\OmniPass\Omniserv.exe

C:\PGI00\APP\PGIService.exe

C:\Program Files\Hewlett-Packard\Toolbox\jre\bin\javaw.exe

C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Program Files\Logitech\SetPoint\KEM.exe

C:\Program Files\Sony Ericsson\Mobile\audevicemgr.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

c:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\MROUTE~2.EXE

C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE

C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\system32\dllhost.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Hijack\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Nothing - {686a161d-5bd1-4999-8832-6393f41e564c} - C:\WINDOWS\system32\hp100.tmp

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [OmniPass] C:\Apps\Softex\OmniPass\scureapp.exe

O4 - HKLM\..\Run: [ulead AutoDetector v2] C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [statusClient 2.6] C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto

O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Program Files\Hewlett-Packard\Toolbox\hpbpsttp.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\microsoft office\office10\OSA.EXE

O4 - Global Startup: Phone Connection Monitor.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .avi: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll

O12 - Plugin for .mpg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - http://www-307.ibm.com/pc/support/IbmEgath.cab

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: MysqlInventime - Unknown owner - C:\Apps\INVENT~1\mysql\bin\mysqld-nt.exe

O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe

O23 - Service: Cegid eAGL Service (PGIService) - Cegid SA - C:\PGI00\APP\PGIService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

Cordialement

Arnaud

tari · le 13 juin 2006

Salut, ces processus te sont t-ils indispensables ? C'est de la mémoire utilisé pour rien

RTHDCPL.EXE

Ati2evxx.exe

ehtray.exe (media center system tray ?)

atiptaxx.exe

jusched.exe

qttask.exe

StatusClient.exe

HPWuSchd2.exe

KHALMNPR.EXE

PGIService.exe (des infos sur celui ci ?)

Pour ton infection ^^ et bien je <<pense>> que tu devras utiliser smitfraud

O2 - BHO: Nothing - {686a161d-5bd1-4999-8832-6393f41e564c} - C:\WINDOWS\system32\hp100.tmp

Mais attend l'analyse de quelqu'un de plus compétent

Cordialement T@r!

Modifié le 13 juin 2006 par tari

arnaud paris · le 13 juin 2006

Salut, ces processus te sont t-ils indispensables ? C'est de la mémoire utilisé pour rien

Merci de tes précision.

Cordialement

RTHDCPL.EXE

Ati2evxx.exe

ehtray.exe (media center system tray ?)

atiptaxx.exe

jusched.exe

qttask.exe

StatusClient.exe

HPWuSchd2.exe

KHALMNPR.EXE

PGIService.exe (des infos sur celui ci ?)

Pour ton infection ^^ et bien je <<pense>> que tu devras utiliser smitfraud

O2 - BHO: Nothing - {686a161d-5bd1-4999-8832-6393f41e564c} - C:\WINDOWS\system32\hp100.tmp

Mais attend l'analyse de quelqu'un de plus compétent

Cordialement T@r!

Bonjour,

Concernant les ^processus , je ne sais pas.

Je vais attendre une analyse du groupe de sécurité.

Merci de tes conseils.

Cordialement.

Arnaud

Salut, ces processus te sont t-ils indispensables ? C'est de la mémoire utilisé pour rien

RTHDCPL.EXE

Ati2evxx.exe

ehtray.exe (media center system tray ?)

atiptaxx.exe

jusched.exe

qttask.exe

StatusClient.exe

HPWuSchd2.exe

KHALMNPR.EXE

PGIService.exe (des infos sur celui ci ?)

Pour ton infection ^^ et bien je <<pense>> que tu devras utiliser smitfraud

O2 - BHO: Nothing - {686a161d-5bd1-4999-8832-6393f41e564c} - C:\WINDOWS\system32\hp100.tmp

Mais attend l'analyse de quelqu'un de plus compétent

Cordialement T@r!

Thanos · le 15 juin 2006

salut arnaud paris ,tari

Comme te l'as dit tari, le pc est infecté !Fais ceci pour voir l'infection =>

Télécharge SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Dézippe la totalité de l'archive smitfraudfix.zip sur ton bureau.

Double cliquer sur smitfraudfix.cmd

Sélectionner 1 pour créer un rapport et rechercher les fichiers responsables de l'infection.

Poste ce rapport stp

arnaud paris · le 15 juin 2006

Bonjpur,

Voici mon rapport Smifraufix, après un premier nettoyage effectué.

Cordialement

SmitFraudFix v2.16

Rapport fait à 9:08:10,32 le 15/06/2006

Executé à partir de C:\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\Documents and Settings\ARNAUD\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

salut arnaud paris ,tari

Comme te l'as dit tari, le pc est infecté !Fais ceci pour voir l'infection =>

Télécharge SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Dézippe la totalité de l'archive smitfraudfix.zip sur ton bureau.

Double cliquer sur smitfraudfix.cmd

Sélectionner 1 pour créer un rapport et rechercher les fichiers responsables de l'infection.

Poste ce rapport stp

Thanos · le 15 juin 2006

salut arnaud paris

Elimine la version de Smitfraudfix présente sur ton pc !! La version est largement dépassée! tu as la version 2.16=> on en est à la version 2.60!

Aussi ,stp récupère la bonne version à partir du lien que je t'ai collé plus haut et recommence.

@+

Modifié le 15 juin 2006 par charles ingals

arnaud paris · le 15 juin 2006

Bonjour Charles,

Voici le rapport de Smitfraudfix avec la dernière version.

Merci d'avance.

Cordialement.

Arnaud

SmitFraudFix v2.60

Rapport fait à 16:45:52,89, 15/06/2006

Executé à partir de C:\Program Files\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» D:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\dcomcfg.exe PRESENT !

C:\WINDOWS\system32\regperf.exe PRESENT !

C:\WINDOWS\system32\simpole.tlb PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\ARNAUD\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» D:\DOCUME~1\ARNAUD\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

D:\DOCUME~1\ALLUSE~1\Bureau\Online Security Guide.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

salut arnaud paris

Elimine la version de Smitfraudfix présente sur ton pc !! La version est largement dépassée! tu as la version 2.16=> on en est à la version 2.60!

Aussi ,stp récupère la bonne version à partir du lien que je t'ai collé plus haut et recommence.

@+

Thanos · le 15 juin 2006

ok! tu vois la différence! Allons y =>

Étape 1:

Télécharge ATF Cleaner by Atribune sur ton bureau.

Étape 2:

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

Étape 3:

Double cliquer sur smitfraudfix.cmd

Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

Répondre O (oui) à la question Voulez-vous nettoyer le registre ? afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Étape 4:

* Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

Coche ceci :

Windows Temp

Current User Temp

All Users Temp

Cookies

Temporary Internet Files

Prefetch

Java Cache

Recycle Bin

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

Étape 5:

Redémarre normalement et fais un scan ici =>

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrive pas : tutorial

Poste stp les rapports :

-de smitfraudfix fait avec l'option 2

-du nouveau scan fait avec hijackthis en mode normal.

-du scan fait chez Panda

@+

arnaud paris · le 15 juin 2006

Rebonjour,

Voici les rapports demandés après avoir fait toutes les manips :

Rapport panda active scan :

Incident Statut Analyse

Outil indésirable:Application/Processor No Désinfecté C:\Program Files\SmitfraudFix\SmitfraudFix\Process.exe

Outil indésirable:Application/Processor No Désinfecté C:\Program Files\SmitfraudFix.zip[smitfraudFix/Process.exe]

Outil indésirable:application/bestoffer No Désinfecté C:\WINDOWS\smdat32m.sys

Adware:adware/emediacodec No Désinfecté D:\Documents and Settings\All Users\Bureau\Security Troubleshooting.url

Spyware:Cookie/2o7 No Désinfecté D:\Documents and Settings\ARNAUD\Application Data\Mozilla\Firefox\Profiles\o4emi2hz.default\cookies.txt[.2o7.net/]

Spyware:Cookie/Adtech No Désinfecté D:\Documents and Settings\ARNAUD\Application Data\Mozilla\Firefox\Profiles\o4emi2hz.default\cookies.txt[.adtech.de/]

Spyware:Cookie/Belnk No Désinfecté D:\Documents and Settings\ARNAUD\Application Data\Mozilla\Firefox\Profiles\o4emi2hz.default\cookies.txt[.belnk.com/]

Spyware:Cookie/cs.sexcounter No Désinfecté D:\Documents and Settings\ARNAUD\Application Data\Mozilla\Firefox\Profiles\o4emi2hz.default\cookies.txt[.cs.sexcounter.com/]

Spyware:Cookie/Overture No Désinfecté D:\Documents and Settings\ARNAUD\Application Data\Mozilla\Firefox\Profiles\o4emi2hz.default\cookies.txt[.perf.overture.com/]

Spyware:Cookie/Weborama No Désinfecté D:\Documents and Settings\ARNAUD\Application Data\Mozilla\Firefox\Profiles\o4emi2hz.default\cookies.txt[.weborama.fr/]

Spyware:Cookie/Xiti No Désinfecté D:\Documents and Settings\ARNAUD\Application Data\Mozilla\Firefox\Profiles\o4emi2hz.default\cookies.txt[.xiti.com/]

Spyware:Cookie/Zedo No Désinfecté D:\Documents and Settings\ARNAUD\Application Data\Mozilla\Firefox\Profiles\o4emi2hz.default\cookies.txt[.zedo.com/]

Spyware:Cookie/YieldManager No Désinfecté D:\Documents and Settings\ARNAUD\Application Data\Mozilla\Firefox\Profiles\o4emi2hz.default\cookies.txt[ad.yieldmanager.com/]

Spyware:Cookie/fe.lea.lycos No Désinfecté D:\Documents and Settings\ARNAUD\Application Data\Mozilla\Firefox\Profiles\o4emi2hz.default\cookies.txt[fe.lea.lycos.fr/]

Spyware:Cookie/fe.lea.lycos No Désinfecté D:\Documents and Settings\ARNAUD\Bureau\Ancien Packard\Documents and Settings\MOI\Cookies\moi@fe.lea.lycos[1].txt

Outil indésirable:Application/Processor No Désinfecté D:\Documents and Settings\ARNAUD\Bureau\DEPANNAGE\SmitfraudFix\SmitfraudFix\Process.exe

Outil indésirable:Application/Processor No Désinfecté D:\Documents and Settings\ARNAUD\Bureau\DEPANNAGE\SmitfraudFix.zip[smitfraudFix/Process.exe]

Outil indésirable:Application/Processor No Désinfecté D:\Documents and Settings\ARNAUD\Bureau\l2mfix\Process.exe

Spyware:Cookie/Serving-sys No Désinfecté D:\Documents and Settings\ARNAUD\Cookies\arnaud@serving-sys[2].txt

Spyware:Cookie/Xiti No Désinfecté D:\Documents and Settings\ARNAUD\Cookies\arnaud@xiti[1].txt

Virus:W97M/Marker.AO Désinfecté Dossiers personnels\Éléments envoyés\paiement des heures GRETA-notes philippe bua\Cécile-lettre au SNES.doc

Virus:W97M/Marker.AO Désinfecté Dossiers personnels\Éléments envoyés\Re: proposition de location à Paris pour lesvacances scolaires\annonce curial.doc

Virus:W97M/Marker.AO Désinfecté Dossiers personnels\Éléments envoyés\Proposition de location à Paris pour les vacances de Noël\annonce curial.doc

Virus:W97M/Marker.AO Désinfecté Dossiers personnels\Éléments envoyés\location à PARIS\annonce curial.doc

Virus:W97M/Marker.AO Désinfecté Dossiers personnels\Éléments envoyés\Location à PARIS pour lesfêtes noël-jour de l'an - 2ème envoi\annonce curial.doc

Virus:W97M/Marker.AO Désinfecté Dossiers personnels\Éléments envoyés\lettre à M. Druart\wanadoo1.doc

Virus:W97M/Marker.AO Désinfecté Dossiers personnels\Éléments envoyés\appartement à louer à Paris\annonce curial.doc

Virus:W97M/Marker.AO Désinfecté Dossiers personnels\Éléments envoyés\SttLambert-notesTSEEC\CC-TS1ecc-janvier03.doc

Virus:W97M/Marker.AO Désinfecté Dossiers personnels\Éléments envoyés\Re: Votre demande de modification de service optionnel\wanadoo1.doc

Spyware:Cookie/Falkag No Désinfecté D:\Documents and Settings\ARNAUD\Local Settings\Temp\Cookies\arnaud@as1.falkag[2].txt

Spyware:Cookie/Bluestreak No Désinfecté D:\Documents and Settings\ARNAUD\Local Settings\Temp\Cookies\arnaud@bluestreak[2].txt

Spyware:Cookie/Sextracker No Désinfecté D:\Documents and Settings\ARNAUD\Local Settings\Temp\Cookies\arnaud@counter3.sextracker[1].txt

Spyware:Cookie/cs.sexcounter No Désinfecté D:\Documents and Settings\ARNAUD\Local Settings\Temp\Cookies\arnaud@cs.sexcounter[2].txt

Spyware:Cookie/Doubleclick No Désinfecté D:\Documents and Settings\ARNAUD\Local Settings\Temp\Cookies\arnaud@doubleclick[1].txt

Spyware:Cookie/Sextracker No Désinfecté D:\Documents and Settings\ARNAUD\Local Settings\Temp\Cookies\arnaud@sextracker[1].txt

Spyware:Cookie/Xiti No Désinfecté D:\Documents and Settings\ARNAUD\Local Settings\Temp\Cookies\arnaud@xiti[1].txt

Rapport Smitfraudfix après option 2 :

SmitFraudFix v2.60

Rapport fait à 17:28:32,31, 15/06/2006

Executé à partir de C:\Program Files\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Rapport Hijackthis en mode normal :

Logfile of HijackThis v1.99.1

Scan saved at 18:21:47, on 15/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\ehome\ehtray.exe

C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Apps\Softex\OmniPass\scureapp.exe

C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Apps\Softex\OmniPass\Omniserv.exe

C:\PGI00\APP\PGIService.exe

C:\Program Files\Hewlett-Packard\Toolbox\jre\bin\javaw.exe

C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Program Files\Logitech\SetPoint\KEM.exe

C:\Program Files\Sony Ericsson\Mobile\audevicemgr.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

c:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\MROUTE~2.EXE

C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE

C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\HijackThis.exe

C:\WINDOWS\system32\HPBPRO.EXE