Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:14:06, on 16/06/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
D:\Windows\system32\Dwm.exe
D:\Windows\Explorer.EXE
D:\Program Files\Windows Defender\MSASCui.exe
D:\Windows\ATK0100\HControl.exe
D:\Windows\RtHDVCpl.exe
D:\Program Files\Synaptics\SynTP\SynTPEnh.exe
D:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
D:\Program Files\Nero\Nero 7\InCD\InCD.exe
D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
D:\Program Files\ASUS\ATK Media\DMedia.exe
D:\Program Files\Common Files\Logitech\LCD Manager\LCDMon.exe
D:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe
D:\Program Files\Razer\Copperhead\razerhid.exe
D:\Program Files\TF1Vision\TF1vision.exe
D:\iTunes\iTunesHelper.exe
D:\Program Files\Alwil Software\Avast4\ashDisp.exe
D:\Windows\system32\taskeng.exe
D:\Windows\System32\rundll32.exe
D:\Program Files\Windows Sidebar\sidebar.exe
D:\Program Files\Razer\Copperhead\razerofa.exe
D:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDClock.exe
D:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDMedia.exe
D:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDCountdown.exe
D:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDPOP3.exe
D:\Windows\ATK0100\ATKOSD.exe
D:\Windows\system32\taskeng.exe
D:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Microsoft Encarta 2009\Microsoft Encarta 2009 - Collection DVD\EDICT.EXE
D:\Program Files\Windows Media Player\wmpnscfg.exe
D:\12Ghosts antipopup\12popup.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Windows\system32\SearchFilterHost.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Windows\system32\Macromed\Flash\FlashUtil10b.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [HControl] D:\Windows\ATK0100\HControl.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] D:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SMSERIAL] D:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] D:\Program Files\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [RemoteControl] "D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "D:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [ATKMEDIA] D:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [Launch LCDMon] "D:\Program Files\Common Files\Logitech\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "D:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [razer] D:\Program Files\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [e-TF1] D:\Program Files\TF1Vision\TF1vision.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE D:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Sidebar] D:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [E09FXLRD_536830] "C:\Microsoft Encarta 2009\Microsoft Encarta 2009 - Collection DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [WMPNSCFG] D:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: 12Ghosts Popup-Killer.lnk = D:\12Ghosts antipopup\12popup.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - D:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/...
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - D:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - D:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - D:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - D:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - D:\Program Files\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - D:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - D:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\Asus\NB Probe\SPM\spmgr.exe
O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - D:\Windows\System32\StkCSrv.exe
End of file - 8846 bytes
ensuite >>>>>
___________________________________________________________________________________
Clean Navipromo version 3.7.7 commencé le 16/06/2009 à 10:02:05,27
Outil exécuté depuis D:\Program Files\navilog1
Mise à jour le 12.05.2009 à 18h00 par IL-MAFIOSO
Microsoft® Windows Vista™ Professionnel ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU T7200 @ 2.00GHz )
BIOS : Default System BIOS
USER : freg ( Administrator )
BOOT : Fail-safe boot
Antivirus : avast! antivirus 4.8.1229 [VPS 081204-0] 4.8.1229 (Activated)
C:\ (Local Disk) - FAT32 - Total:66 Go (Free:37 Go)
D:\ (Local Disk) - NTFS - Total:43 Go (Free:12 Go)
E:\ (CD or DVD)
Mode suppression automatique
avec prise en charge résultats Catchme et GNS
Nettoyage executé en mode sans échec
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
*** Suppression avec sauvegardes résultats GenericNaviSearch ***
* Suppression dans "D:\Windows\System32" *
* Suppression dans "D:\Users\freg\AppData\Local\Microsoft" *
* Suppression dans "D:\Users\freg\AppData\Local\virtualstore\windows\system32" *
* Suppression dans "D:\Users\freg\AppData\Local" *
*** Suppression dossiers dans "D:\Windows" ***
*** Suppression dossiers dans "D:\Program Files" ***
*** Suppression dossiers dans "d:\progra~2\micros~1\windows\startm~1\programs" ***
*** Suppression dossiers dans "d:\progra~2\micros~1\windows\startm~1" ***
*** Suppression dossiers dans "D:\ProgramData" ***
*** Suppression dossiers dans d:\users\freg\appdata\roaming\micros~1\windows\startm~1\programs ***
*** Suppression dossiers dans "D:\Users\freg\AppData\Local\virtualstore\Program Files" ***
*** Suppression dossiers dans "D:\Users\freg\AppData\Local" ***
*** Suppression dossiers dans "D:\Users\freg\AppData\Roaming" ***
*** Suppression fichiers ***
*** Suppression fichiers temporaires ***
Nettoyage contenu D:\Windows\Temp effectué !
Nettoyage contenu D:\Users\freg\AppData\Local\Temp effectué !
*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Suppression avec sauvegardes nouveaux fichiers Instant Access :
2)Recherche, création sauvegardes et suppression Heuristique :
* Dans "D:\Windows\system32" *
* Dans "D:\Users\freg\AppData\Local\Microsoft" *
* Dans "D:\Users\freg\AppData\Local\virtualstore\windows\system32" *
* Dans "D:\Users\freg\AppData\Local" *
akeieme.exe trouvé !
Copie akeieme.exe réalisée avec succès !
akeieme.exe supprimé !
akeieme.dat trouvé !
Copie akeieme.dat réalisée avec succès !
akeieme.dat supprimé !
akeieme_nav.dat trouvé !
Copie akeieme_nav.dat réalisée avec succès !
akeieme_nav.dat supprimé !
akeieme_navps.dat trouvé !
Copie akeieme_navps.dat réalisée avec succès !
akeieme_navps.dat supprimé !
*** Sauvegarde du Registre vers dossier Safebackup ***
sauvegarde du Registre réalisée avec succès !
*** Nettoyage Registre ***
Nettoyage Registre Ok
*** Certificats ***
Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat Montorgueil absent !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !
*** Recherche autres dossiers et fichiers connus ***
*** Nettoyage terminé le 16/06/2009 à 10:03:22,95 ***
________________________________________________
Search Navipromo version 3.7.7 commencé le 16/06/2009 à 9:41:55,40
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis D:\Program Files\navilog1
Mise à jour le 12.05.2009 à 18h00 par IL-MAFIOSO
Microsoft® Windows Vista™ Professionnel ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU T7200 @ 2.00GHz )
BIOS : Default System BIOS
USER : freg ( Administrator )
BOOT : Fail-safe boot
Antivirus : avast! antivirus 4.8.1229 [VPS 081204-0] 4.8.1229 (Activated)
C:\ (Local Disk) - FAT32 - Total:66 Go (Free:37 Go)
D:\ (Local Disk) - NTFS - Total:43 Go (Free:12 Go)
E:\ (CD or DVD)
Recherche executé en mode sans échec
*** Recherche dossiers dans "D:\Windows" ***
*** Recherche dossiers dans "D:\Program Files" ***
*** Recherche dossiers dans "d:\progra~2\micros~1\windows\startm~1\programs" ***
*** Recherche dossiers dans "d:\progra~2\micros~1\windows\startm~1" ***
*** Recherche dossiers dans "D:\ProgramData" ***
*** Recherche dossiers dans "d:\users\freg\appdata\roaming\micros~1\windows\startm~1\programs" ***
*** Recherche dossiers dans "D:\Users\freg\AppData\Local\virtualstore\Program Files" ***
*** Recherche dossiers dans "D:\Users\freg\AppData\Local" ***
*** Recherche dossiers dans "D:\Users\freg\AppData\Roaming" ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos :
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans "D:\Windows\system32" *
* Recherche dans "D:\Users\freg\AppData\Local\Microsoft" *
* Recherche dans "D:\Users\freg\AppData\Local\virtualstore\windows\system32" *
* Recherche dans "D:\Users\freg\AppData\Local" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"akeieme"="\"d:\\users\\freg\\appdata\\local\\akeieme.exe\" akeieme"
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans "D:\Windows\system32" :
* Dans "D:\Users\freg\AppData\Local\Microsoft" :
* Dans "D:\Users\freg\AppData\Local\virtualstore\windows\system32" :
* Dans "D:\Users\freg\AppData\Local" :
akeieme.exe trouvé !
akeieme.dat trouvé !
akeieme_nav.dat trouvé !
akeieme_navps.dat trouvé !
3)Recherche Certificats :
Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat Montorgueil absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche autres dossiers et fichiers connus :
*** Analyse terminée le 16/06/2009 à 9:57:23,90 ***
Chase bank cheval de troie 'trojan-spy.html.fraud.gen'
