High-Tech Santé Médecine Droit-Finances

Réalisation

vidéo numérique

Rechercher : dans
Par :

Infection par trojan win32 adam078 adam 090

Dernière réponse le 15 jan 2006 à 19:42:33 stephane, le 13 jan 2006 à 10:10:09 
 Signaler ce message aux modérateurs

Bonjour voici le rapport d'erreur effectue par hijackThis
suite au trojan win 32 qui a infeste mon ordinateur est-ce quer qqn peut m'aider svp?

Logfile of HijackThis v1.99.1
Scan saved at 09:40:30, on 13/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rmctrl.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\sysldr32.exe
C:\WINDOWS\sachostx.exe
C:\WINDOWS\system32\priva.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\sachostp.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\sachostc.exe
C:\WINDOWS\system32\sachosts.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\odile\Local Settings\Temporary Internet Files\Content.IE5\KPE78X6B\a2freesetup[1].exe
C:\DOCUME~1\odile\LOCALS~1\Temp\is-6MUM9.tmp\is-GJV4P.tmp
C:\Program Files\a-squared\a2upd.exe
C:\Documents and Settings\odile\Bureau\HijackThis.exe
C:\WINDOWS\system32\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gocyberlink.com/registration/registration1.asp?SoftWare=POWERDVD&Version_Num=5.0&Cd_Key=DX88183R73239812&Company=Company&FName=.&Lang=Enu
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {C550F671-6FA9-A7FB-699A-EE5A1AD2BAC8} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\kernels64.exe
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\wpjhs.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Documents and Settings\odile\Mes documents\Mes fichiers reçus\Logiciels\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: C:\WINDOWS\adsldpbf.dll - {EEE7178C-BBC3-4153-9DDE-CD0E9AB1B5B6} - C:\WINDOWS\adsldpbf.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\wpjhs.dll
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SystemLoader] C:\WINDOWS\sysldr32.exe
O4 - HKLM\..\Run: [HostSrv] C:\WINDOWS\sachostx.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\system32\priva.exe internat.dll,LoadMouseCarpetProfile
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\system32\hgqhp.exe
O4 - HKLM\..\Run: [dmvrj.exe] C:\WINDOWS\system32\dmvrj.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [UnSpyPC] "C:\Program Files\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [EXE32EXE] Preliminary.exe
O4 - HKCU\..\Run: [iesetupdll] bnui.exe
O4 - HKCU\..\Run: [TorontoMail] PasswdMon.exe
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00006.exe"
O4 - HKCU\..\Run: [AlexaToolbar] C:\WINDOWS\alt.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E51B036C-CDD6-410C-B2BE-81FBEE843B2D}: NameServer = 85.255.116.125,85.255.112.211
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE4A1FD8-DDE0-45A5-AC95-0F809A3B2D15}: NameServer = 85.255.116.125,85.255.112.211
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: browsela - C:\WINDOWS\system32\browsela.dll
O20 - Winlogon Notify: msupdate - msupdate32.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Configuration: XP

Posez votre question Répondre

1

regis59, le 13 jan 2006 à 13:27:54

Salut

Télécharge win32delfkil.exe
http://users.telenet.be/marcvn/tools/win32delfkil.exe
Place-le sur le bureau.
Lance-le.
Le dossier win32delfkil est créé.
Ferme tous les programmes, toutes les fenêtres.
Ouvre ce dossier et double-clic sur win32delfkil.exe

**

Télécharge ceci: (merci a S!RI pour ce petit programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.

A+ Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansh­eestyle)

   
Répondre à regis59

2

stephane, le 13 jan 2006 à 19:17:58

Merci pour ces qstuces regis mais les liens ne marchent pas 3serveur introuvavle" est_ce que ca peut venir du pare-feu et si oui que dois-je faire
merci a +
stef

   
Répondre à stephane

5

stephane, le 14 jan 2006 à 10:43:07

Bonjour regis apres telkechargemlent et procedures effectuées voici le rapport
A +
stephane

SmitFraudFix v2.15

Rapport fait à 10:36:58,18 le 14/01/2006
Executé à partir de C:\Documents and Settings\odile\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

C:\WINDOWS\adsldpbf.dll PRESENT !
C:\WINDOWS\desktop.html PRESENT !
C:\WINDOWS\sysldr32.exe PRESENT!

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

C:\WINDOWS\system32\browsela.dll PRESENT !
C:\WINDOWS\system32\oleext.dll PRESENT !
C:\WINDOWS\system32\priva.exe PRESENT !
C:\WINDOWS\system32\split1.exe PRESENT !
C:\WINDOWS\system32\yaemu.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\odile\Application Data

C:\Documents and Settings\odile\Application Data\Install.dat PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

C:\Program Files\WinHound\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

HKLM\SOFTWARE\WinHound.com Présent !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"
"{31EE3286-D785-4E3F-95FC-51D00FDABC01}"="Master Browseui"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

   
Répondre à stephane

4

regis59, le 13 jan 2006 à 23:05:43

Salut

les liens fonctionnent, enleve tes protections residentes sauf l antivirus et reessai

a+ Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansh­eestyle)

   
Répondre à regis59

6

regis59, le 14 jan 2006 à 10:53:53

Re,

Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
------------------------------------------------------------­----------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

puis remet un hijack this

a+ Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansh­eestyle)

   
Répondre à regis59

7

aranjuez31, le 14 jan 2006 à 11:02:59

Hello
je jette un oeil sur la bête browsela "Accroche ta charrue à une étoile et ton sillon sera droit" (proverbe berbére)

   
Répondre à aranjuez31

8

stephane, le 14 jan 2006 à 11:42:41

RE
APRES SCAN AVEC SMITFRAUDFIX il indique que les fichiers infectes ont ete supprimes mais que pb de suppression pour BROWSELA.DLL qui est utilise par une autre application.

le Virus Win32 toujours present avec le logiciel "Win32:trojan 1269"
voila le rapport avec HIjackthis:

Logfile of HijackThis v1.99.1
Scan saved at 11:30:41, on 14/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rmctrl.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\sachostx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00006.exe
C:\WINDOWS\alt.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\sachostp.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\odile\Bureau\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\sachostc.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gocyberlink.com/registration/registration1.asp?SoftWare=POWERDVD&Version_Num=5.0&Cd_Key=DX88183R73239812&Company=Company&FName=.&Lang=Enu
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {C550F671-6FA9-A7FB-699A-EE5A1AD2BAC8} - (no file)
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\wpjhs.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Documents and Settings\odile\Mes documents\Mes fichiers reçus\Logiciels\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\wpjhs.dll
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HostSrv] C:\WINDOWS\sachostx.exe
O4 - HKLM\..\Run: [dflnl.exe] C:\WINDOWS\system32\dflnl.exe
O4 - HKLM\..\Run: [dmgoy.exe] C:\WINDOWS\system32\dmgoy.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [UnSpyPC] "C:\Program Files\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [EXE32EXE] Preliminary.exe
O4 - HKCU\..\Run: [iesetupdll] bnui.exe
O4 - HKCU\..\Run: [TorontoMail] PasswdMon.exe
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00006.exe"
O4 - HKCU\..\Run: [AlexaToolbar] C:\WINDOWS\alt.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E51B036C-CDD6-410C-B2BE-81FBEE843B2D}: NameServer = 85.255.116.125,85.255.112.211
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE4A1FD8-DDE0-45A5-AC95-0F809A3B2D15}: NameServer = 85.255.116.125,85.255.112.211
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: browsela - C:\WINDOWS\system32\browsela.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

   
Répondre à stephane

9

STEPHANE, le 14 jan 2006 à 11:45:52

Voila le dernier rapport avec SmitFraud:

SmitFraudFix v2.15

Rapport fait à 11:40:20,78 le 14/01/2006
Executé à partir de C:\Documents and Settings\odile\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

C:\WINDOWS\adsldpbf.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

C:\WINDOWS\system32\browsela.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\odile\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio­n\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"
"{31EE3286-D785-4E3F-95FC-51D00FDABC01}"="Master Browseui"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

   
Répondre à STEPHANE

10

regis59, le 14 jan 2006 à 12:10:18

Bonjour,

Méthode à suivre dans l'ordre...

Respecte bien la procédure stp


Dans ajout/suppression de programme, desinstalle si tu trouves ceci:

UnSpyPC
------------------------------------------------------------­----------------
¤Télécharge ces logiciels mais que tu n‘utilises pas tout de suite:

1/

Spybot S&D 1.4 <<nouvelle version.
http://www.safer-networking.org/fr/index.html

Démo d’utilisation (merci à Balltrap34 pour cette réalisation).
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

2/

Ad-Aware SE 1.06 <<nouvelle version.
http://www.lavasoftusa.com/software/adaware/
-Une aide:
http://www.tutopat.com/viewtopic.php?t=1191
- installe le patch français, tu pourras le trouver ici:
http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
et une petite vidéo d'utilisation ici:(merci à Moe31 pour cette réalisation).
http://pageperso.aol.fr/balltrap34/adawrevid.asf

3/SpySweeper (de Webroot)
(c'est une version d'essai de 14 jours)
http://www.download.com/Webroot-Spy-Sweepe...4-10405877.html
ou
http://www.webroot.com/consumer/products/spysweeper?acode=af1&rc=3597

• clique sur le lien Free Trial sous la rubrique "SpySweeper"
• installe le programme. Une fois installé, il va se lancer.
• L'option de le mettre à jour va s'afficher, clique sur Yes
• Une fois les mises à jour faites.ferme le programme.
----------------------------------------------------------------------------
¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage

Coche « afficher les fichiers et dossiers cachés »

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décoche « masquer les extensions dont le type est connu »
Puis fais «Ok» pour valider les changements.

Et appliquer !
---------------------------------------------------------------------------
Déconnecte toi d'internet c'est important

puis vérifie ceci:
demarrer > connection > clic droit sur ta connection > propriétés
gestion de reseau
assure toi que protocole internet tcp/ip est en surbrillance (attention, ne décoche pas la case)> clic sur propriétés > selectionne "obtenir les adresses des serveurs automatiquement"
valide avec ok
----------------------------------------------------------------------------
¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

R3 - URLSearchHook: (no name) - {C550F671-6FA9-A7FB-699A-EE5A1AD2BAC8} - (no file)

O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\wpjhs.dll

O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\wpjhs.dll

O4 - HKLM\..\Run: [HostSrv] C:\WINDOWS\sachostx.exe

O4 - HKLM\..\Run: [dflnl.exe] C:\WINDOWS\system32\dflnl.exe

O4 - HKLM\..\Run: [dmgoy.exe] C:\WINDOWS\system32\dmgoy.exe

O4 - HKCU\..\Run: [UnSpyPC] "C:\Program Files\UnSpyPC\UnSpyPC.exe"

O4 - HKCU\..\Run: [EXE32EXE] Preliminary.exe

O4 - HKCU\..\Run: [iesetupdll] bnui.exe

O4 - HKCU\..\Run: [TorontoMail] PasswdMon.exe

O4 - HKCU\..\Run: [Shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00006.exe"

O4 - HKCU\..\Run: [AlexaToolbar] C:\WINDOWS\alt.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{E51B036C-CDD6-410C-B2BE-81FBEE843B2D}: NameServer = 85.255.116.125,85.255.112.211

O17 - HKLM\System\CCS\Services\Tcpip\..\{FE4A1FD8-DDE0-45A5-AC95-0F809A3B2D15}: NameServer = 85.255.116.125,85.255.112.211

O20 - Winlogon Notify: browsela - C:\WINDOWS\system32\browsela.dll
----------------------------------------------------------------------------
¤Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
¤Vide tes fichiers temps et temporary internet file:

:: Supprimer les fichiers temporaires ::
vider tout le contenu de ces dossiers.

* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Windows\Temp

:: Le contenu du dossier prefetch ::

* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini

* Ne pas oublier de vider la corbeille !
----------------------------------------------------------------------------
¤Recherche et supprime ceci:
attention seulement les fichiers (si présents).

C:\WINDOWS\sachostx.exe
C:\WINDOWS\system32\dflnl.exe
C:\WINDOWS\system32\dmgoy.exe
C:\Program Files\UnSpyPC
Preliminary.exe
bnui.exe
PasswdMon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00006.exe
C:\WINDOWS\alt.exe

---------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum
---------------------------------------------------------------------------
Lance spy sweeper:

clique Options sur la gauche
• Clique sur l'onglet Sweep Options
• Sous What to Sweep tu coches les options suivantes :

Sweep Memory
Sweep Registry
Sweep Cookies
Sweep All User Accounts
Enable Direct Disk Sweeping
Sweep Contents of Compressed Files
Sweep for Rootkits
Décoche Do not Sweep System Restore Folder

• clique sur Sweep Now sur la gauche
• clique sur Start
• quand le scan est terminé, clique sur Next
• assure toi que tous les items sont cochés, puis clique sur Next
• Tous les items cochés seront éliminés
• Si SpySweeper veut redémarrer pour terminer le nettoyage : ACCEPTE
• Clique Session Log en haut à droite, et copie tout ce qu'il y a dans la fenêtre
• Clique sur l'onglet Summary, puis clique sur Finish
• sauvegarde le rapport et donne le sur le forum

----------------------------------------------------------------------------
¤ Passe Ad-Aware et supprime tout ce qu’il trouve + supprime les quarantaines…
----------------------------------------------------------------------------
¤ Passe Spybot et corrige tout ce qu’il trouve + vaccine + supprime les quarantaines…
----------------------------------------------------------------------------
¤ Vide ta Corbeille.
----------------------------------------------------------------------------
¤ Redémarre en mode normal, relance Hijackthis et copie/colle un nouveau rapport sur le forum.

Précise tes soucis s’il en reste....

Tiens-moi au courant

A+
Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansheestyle)

   
Répondre à regis59

11

stephane, le 14 jan 2006 à 13:01:18

Regis,
je n'arrive pas a me procurer Spy Sweeper il y a un pb au cours de l'installation ( sur le 2e site indiqué car le 1er ne marche pas)
peux-tu m'indiquer un autre site pr le telecharger stp?

sinon je continue la procedure.....
A+

   
Répondre à stephane

12

regis59, le 14 jan 2006 à 13:05:24

Re,
C est surrement tes infections qui foutent la merde lol
Continue sans le programme, sautes les etapes avec ce programme, si la 020 reste on avisera

a+ Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansh­eestyle)

   
Répondre à regis59

16

stephane, le 14 jan 2006 à 16:36:49

Voila le premier rapport avec spy sweeper je continue avec les deux autres et je te file les rapports.... spy sweeper en a detecte un bon paquet.... esperons que ca ne dure pas
a +

15:16: | Start of Session, samedi 14 janvier 2006 |
15:16: Spy Sweeper started
15:16: Sweep initiated using definitions version 601
15:16: Found Trojan Horse: trojan-downloader-2pursuit
15:16: HKCR\clsid\{31ee3286-d785-4e3f-95fc-51d00fdabc01}\inprocserv­er32\ (2 subtraces) (ID = 1098696)
15:16: browsela.dll (ID = 1098696)
15:16: HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\browsela\ || dllname (ID = 1098846)
15:16: browsela.dll (ID = 1098846)
15:16: Starting Memory Sweep
15:18: Memory Sweep Complete, Elapsed Time: 00:02:19
15:18: Starting Registry Sweep
15:18: Found Adware: zeropopup
15:18: HKCR\toolband.toolbandobj\ (5 subtraces) (ID = 128258)
15:18: Found Adware: start4search toolbar
15:18: HKCR\toolband.toolbandobj\ (5 subtraces) (ID = 128258)
15:18: Found Adware: ietoolbar
15:18: HKCR\toolband.toolbandobj\ (5 subtraces) (ID = 128258)
15:19: Found Adware: searchtoolbar
15:19: HKLM\software\searchtoolbar\ (3 subtraces) (ID = 141346)
15:19: HKLM\software\classes\toolband.toolbandobj\ (5 subtraces) (ID = 142347)
15:19: HKLM\software\classes\toolband.toolbandobj\ (5 subtraces) (ID = 142347)
15:19: HKCR\toolband.toolbandobj.1\ (3 subtraces) (ID = 143002)
15:19: Found Trojan Horse: trojan-downloader-ruin
15:19: HKLM\software\microsoft\windows\currentversion\urls\ (10 subtraces) (ID = 605127)
15:19: HKLM\software\microsoft\windows\currentversion\ruins\ (8 subtraces) (ID = 605128)
15:19: Found Adware: idesk
15:19: HKLM\system\currentcontrolset\services\zpmodemsysntdrvnt\ (11 subtraces) (ID = 1047250)
15:19: HKCR\clsid\{31ee3286-d785-4e3f-95fc-51d00fdabc01}\ (5 subtraces) (ID = 1094393)
15:19: HKLM\software\classes\clsid\{31ee3286-d785-4e3f-95fc-51d00fd­abc01}\ (5 subtraces) (ID = 1094538)
15:19: HKLM\software\microsoft\windows\currentversion\explorer\shar­edtaskscheduler\ || {31ee3286-d785-4e3f-95fc-51d00fdabc01} (ID = 1094560)
15:19: HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\browsela\ (10 subtraces) (ID = 1094567)
15:19: HKCR\clsid\{eee7178c-bbc3-4153-9dde-cd0e9ab1b5b6}\ (5 subtraces) (ID = 1098652)
15:19: HKLM\software\classes\clsid\{eee7178c-bbc3-4153-9dde-cd0e9ab­1b5b6}\ (5 subtraces) (ID = 1098686)
15:19: HKLM\software\microsoft\windows\currentversion\explorer\brow­ser helper objects\{eee7178c-bbc3-4153-9dde-cd0e9ab1b5b6}\ (ID = 1098692)
15:19: HKU\S-1-5-21-1078081533-764733703-1060284298-1003\software\m­icrosoft\internet explorer\toolbar\webbrowser\ || {08bec6aa-49fc-4379-3587-4b21e286c19e} (ID = 139177)
15:19: Found Adware: quicklink search toolbar
15:19: HKU\S-1-5-21-1078081533-764733703-1060284298-1003\software\m­icrosoft\internet explorer\toolbar\webbrowser\ || {08bec6aa-49fc-4379-3587-4b21e286c19e} (ID = 139177)
15:19: HKU\S-1-5-21-1078081533-764733703-1060284298-1003\software\s­earchtoolbar\ (5 subtraces) (ID = 141343)
15:19: HKU\S-1-5-21-1078081533-764733703-1060284298-1003\software\m­icrosoft\internet explorer\toolbar\shellbrowser\ || {08bec6aa-49fc-4379-3587-4b21e286c19e} (ID = 1020297)
15:19: HKU\S-1-5-21-1078081533-764733703-1060284298-1003\software\m­icrosoft\gsgs\ (166 subtraces) (ID = 1032011)
15:19: Found Adware: unspypc
15:19: HKU\S-1-5-21-1078081533-764733703-1060284298-1003\software\u­nspypc\ (6 subtraces) (ID = 1059779)
15:19: Registry Sweep Complete, Elapsed Time:00:00:32
15:19: Starting Cookie Sweep
15:19: Found Spy Cookie: 247realmedia cookie
15:19: odile@247realmedia[1].txt (ID = 1953)
15:19: Found Spy Cookie: xiti cookie
15:19: odile@xiti[1].txt (ID = 3717)
15:19: Cookie Sweep Complete, Elapsed Time: 00:00:00
15:19: Starting File Sweep
15:20: Found Adware: winhound
15:20: c:\documents and settings\odile\application data\winhound.com (11 subtraces) (ID = -2147462035)
15:20: Found Trojan Horse: trojan-downloader-badgirls
15:20: a0031154.exe (ID = 194546)
15:20: a0032180.exe (ID = 194546)
15:20: Found Adware: spysheriff
15:20: a0032224.dll (ID = 218019)
15:20: a0032221.dll (ID = 218016)
15:20: Found Adware: coolwebsearch (cws)
15:20: a0026012.exe (ID = 217698)
15:20: a0028131.exe (ID = 217698)
15:20: a0032222.dll (ID = 218017)
15:20: a0025992.exe (ID = 209376)
15:20: Found Trojan Horse: trojan_downloader_harnig
15:20: a0024954.exe (ID = 217730)
15:20: Found Trojan Horse: trojan-secdrop
15:20: sphlp32.exe (ID = 81237)
15:21: a0032223.dll (ID = 218018)
15:21: a0029138.exe (ID = 217698)
15:21: a0029139.exe (ID = 217698)
15:21: a0032225.dll (ID = 218020)
15:21: Found Trojan Horse: trojan-backdoor-core.psyche-evolution.com
15:21: a0033266.dll (ID = 217328)
15:22: a0026003.dll (ID = 206115)
15:22: a0032227.exe (ID = 218022)
15:22: a0032220.dll (ID = 218015)
15:23: a0026001.exe (ID = 212818)
15:23: pppcgm.exe (ID = 125496)
15:24: a0025993.exe (ID = 209378)
15:24: idemlog.exe (ID = 205677)
15:25: a0025997.dll (ID = 206111)
15:25: a0026002.exe (ID = 206114)
15:26: a0049577.dll (ID = 73422)
15:27: a0025995.exe (ID = 209375)
15:28: Found Trojan Horse: trojan-downloader-asdbiz.biz
15:28: a0022877.exe (ID = 80237)
15:28: filesafer23.exe (ID = 209443)
15:30: a0023886.exe (ID = 217698)
15:30: a0022879.exe (ID = 80237)
15:30: Found Trojan Horse: trojan-backdoor-securemulti
15:30: a0022878.exe (ID = 210321)
15:36: a0023884.exe (ID = 210321)
15:36: Found Trojan Horse: trojan-downloader-infectedhost
15:36: a0033265.dll (ID = 201334)
15:37: a0032207.exe (ID = 80237)
15:37: a0023899.exe (ID = 210321)
15:37: a0039423.exe (ID = 209443)
15:37: a0027053.exe (ID = 217698)
15:37: a0024985.exe (ID = 217730)
15:37: a0024956.exe (ID = 217698)
15:37: a0029126.exe (ID = 217698)
15:37: a0047529.exe (ID = 217730)
15:37: a0047531.exe (ID = 194546)
15:37: Found Trojan Horse: trojan-backdoor-us15info
15:37: a0051608.exe (ID = 220076)
15:37: Found Trojan Horse: trojan looksy
15:37: a0051607.dll (ID = 231231)
15:37: zpmodemnt.sys (ID = 205674)
15:38: services.exe (ID = 217698)
15:39: a0031202.exe (ID = 217698)
15:40: a0026010.exe (ID = 210321)
15:42: Found Adware: hotconnect dialer
15:42: a0014264.ico (ID = 71911)
15:43: a0026985.exe (ID = 217730)
15:44: a0023901.exe (ID = 217698)
15:45: a0024900.exe (ID = 217340)
15:45: a0032217.exe (ID = 194546)
15:45: a0024902.exe (ID = 217730)
15:45: a0029170.exe (ID = 217698)
15:45: a0024964.exe (ID = 217339)
15:45: a0023880.exe (ID = 80237)
15:45: a0031170.exe (ID = 80237)
15:45: a0023885.exe (ID = 80237)
15:45: a0023898.exe (ID = 80237)
15:45: a0024912.exe (ID = 217698)
15:45: a0027049.exe (ID = 217730)
15:45: a0030174.exe (ID = 217698)
15:45: a0026009.exe (ID = 217730)
15:45: a0031174.exe (ID = 217698)
15:46: a0030173.exe (ID = 80237)
15:46: a0032206.exe (ID = 217698)
15:46: a0029133.exe (ID = 80237)
15:46: a0023900.exe (ID = 80237)
15:46: a0024982.exe (ID = 217337)
15:46: Found Trojan Horse: trojan-downloader-hebeeaac
15:46: a0032213.exe (ID = 217732)
15:46: a0029135.exe (ID = 80237)
15:46: a0024950.exe (ID = 217730)
15:46: a0024903.exe (ID = 210321)
15:47: a0024951.exe (ID = 210321)
15:47: a0024937.dll (ID = 217335)
15:47: Found Adware: trojan-downloader-evko.biz
15:47: a0031166.exe (ID = 217733)
15:47: a0032204.exe (ID = 80237)
15:47: a0031173.exe (ID = 80237)
15:47: a0024938.exe (ID = 217338)
15:47: a0024983.exe (ID = 217339)
15:47: Found Trojan Horse: trojan-downloader-vxiframe
15:47: a0047532.exe (ID = 107123)
15:47: a0031198.exe (ID = 80237)
15:47: a0024910.exe (ID = 217730)
15:47: a0024906.exe (ID = 217339)
15:47: a0024913.exe (ID = 220076)
15:47: a0029167.exe (ID = 80237)
15:47: a0027054.exe (ID = 220076)
15:47: a0031199.exe (ID = 80237)
15:47: a0029169.exe (ID = 80237)
15:47: a0028127.exe (ID = 217730)
15:47: a0028125.exe (ID = 217698)
15:49: a0028128.exe (ID = 217730)
15:49: a0030169.exe (ID = 217733)
15:49: paradise.raw.exe (ID = 211843)
15:49: a0028130.exe (ID = 220040)
15:49: a0024981.exe (ID = 217340)
15:49: a0026013.exe (ID = 220076)
15:49: a0024940.exe (ID = 217340)
15:49: a0024942.exe (ID = 217337)
15:49: a0027051.exe (ID = 210321)
15:49: a0014262.ico (ID = 71873)
15:49: a0026000.dll (ID = 212817)
15:49: a0032226.exe (ID = 218021)
15:49: a0024943.exe (ID = 217339)
15:49: a0024959.dll (ID = 217335)
15:49: a0024953.exe (ID = 217698)
15:49: a0029125.exe (ID = 80237)
15:50: Found Adware: psguard\winhound fakealert
15:50: a0024965.dll (ID = 214326)
15:50: a0027055.exe (ID = 217698)
15:50: File Sweep Complete, Elapsed Time: 00:31:12
15:50: Full Sweep has completed. Elapsed time 00:34:15
15:50: Traces Found: 420
********
14:10: | Start of Session, samedi 14 janvier 2006 |
14:10: Spy Sweeper started
14:10: Sweep initiated using definitions version 601
14:10: Found Trojan Horse: trojan-downloader-2pursuit
14:10: HKCR\clsid\{31ee3286-d785-4e3f-95fc-51d00fdabc01}\inprocserv­er32\ (2 subtraces) (ID = 1098696)
14:10: browsela.dll (ID = 1098696)
14:10: HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\browsela\ || dllname (ID = 1098846)
14:10: browsela.dll (ID = 1098846)
14:10: Starting Memory Sweep
14:15: Found Trojan Horse: trojan-downloader-ruin
14:15: Detected running threat: C:\WINDOWS\explorer.exe (ID = 81)
14:17: Memory Sweep Complete, Elapsed Time: 00:06:39
14:17: Starting Registry Sweep
14:17: Found Adware: zeropopup
14:17: HKCR\toolband.toolbandobj\ (5 subtraces) (ID = 128258)
14:17: Found Adware: start4search toolbar
14:17: HKCR\toolband.toolbandobj\ (5 subtraces) (ID = 128258)
14:17: Found Adware: ietoolbar
14:17: HKCR\toolband.toolbandobj\ (5 subtraces) (ID = 128258)
14:17: Found Adware: searchtoolbar
14:17: HKLM\software\searchtoolbar\ (3 subtraces) (ID = 141346)
14:17: HKLM\software\classes\toolband.toolbandobj\ (5 subtraces) (ID = 142347)
14:17: HKLM\software\classes\toolband.toolbandobj\ (5 subtraces) (ID = 142347)
14:17: HKCR\toolband.toolbandobj.1\ (3 subtraces) (ID = 143002)
14:18: HKLM\software\microsoft\windows\currentversion\urls\ (10 subtraces) (ID = 605127)
14:18: HKLM\software\microsoft\windows\currentversion\ruins\ (8 subtraces) (ID = 605128)
14:18: Found Adware: idesk
14:18: HKLM\system\currentcontrolset\services\zpmodemsysntdrvnt\ (12 subtraces) (ID = 1047250)
14:18: HKCR\clsid\{31ee3286-d785-4e3f-95fc-51d00fdabc01}\ (5 subtraces) (ID = 1094393)
14:18: HKLM\software\classes\clsid\{31ee3286-d785-4e3f-95fc-51d00fd­abc01}\ (5 subtraces) (ID = 1094538)
14:18: HKLM\software\microsoft\windows\currentversion\explorer\shar­edtaskscheduler\ || {31ee3286-d785-4e3f-95fc-51d00fdabc01} (ID = 1094560)
14:18: HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\browsela\ (10 subtraces) (ID = 1094567)
14:18: HKCR\clsid\{eee7178c-bbc3-4153-9dde-cd0e9ab1b5b6}\ (5 subtraces) (ID = 1098652)
14:18: HKLM\software\classes\clsid\{eee7178c-bbc3-4153-9dde-cd0e9ab­1b5b6}\ (5 subtraces) (ID = 1098686)
14:18: HKLM\software\microsoft\windows\currentversion\explorer\brow­ser helper objects\{eee7178c-bbc3-4153-9dde-cd0e9ab1b5b6}\ (ID = 1098692)
14:18: HKU\S-1-5-21-1078081533-764733703-1060284298-1003\software\m­icrosoft\internet explorer\toolbar\webbrowser\ || {08bec6aa-49fc-4379-3587-4b21e286c19e} (ID = 139177)
14:18: Found Adware: quicklink search toolbar
14:18: HKU\S-1-5-21-1078081533-764733703-1060284298-1003\software\m­icrosoft\internet explorer\toolbar\webbrowser\ || {08bec6aa-49fc-4379-3587-4b21e286c19e} (ID = 139177)
14:18: HKU\S-1-5-21-1078081533-764733703-1060284298-1003\software\s­earchtoolbar\ (5 subtraces) (ID = 141343)
14:18: HKU\S-1-5-21-1078081533-764733703-1060284298-1003\software\m­icrosoft\internet explorer\toolbar\shellbrowser\ || {08bec6aa-49fc-4379-3587-4b21e286c19e} (ID = 1020297)
14:18: HKU\S-1-5-21-1078081533-764733703-1060284298-1003\software\m­icrosoft\gsgs\ (166 subtraces) (ID = 1032011)
14:18: Found Adware: unspypc
14:18: HKU\S-1-5-21-1078081533-764733703-1060284298-1003\software\u­nspypc\ (6 subtraces) (ID = 1059779)
14:18: Registry Sweep Complete, Elapsed Time:00:00:48
14:18: Starting Cookie Sweep
14:18: Found Spy Cookie: 247realmedia cookie
14:18: odile@247realmedia[1].txt (ID = 1953)
14:18: Found Spy Cookie: xiti cookie
14:18: odile@xiti[1].txt (ID = 3717)
14:18: Cookie Sweep Complete, Elapsed Time: 00:00:01
14:18: Starting File Sweep
14:18: Found Adware: winhound
14:18: c:\documents and settings\odile\application data\winhound.com (11 subtraces) (ID = -2147462035)
14:18: Found Trojan Horse: trojan-downloader-badgirls
14:18: a0031154.exe (ID = 194546)
14:18: Found Trojan Horse: trojan looksy
14:18: a0031184.dll (ID = 231231)
14:18: a0032259.dll (ID = 231231)
14:18: a0039411.dll (ID = 231231)
14:18: a0031159.dll (ID = 231231)
14:18: a0029119.exe (ID = 217340)
14:18: a0025978.exe (ID = 217340)
14:18: a0032180.exe (ID = 194546)
14:18: a0049542.dll (ID = 231231)
14:18: a0041411.dll (ID = 231231)
14:19: a0032186.dll (ID = 231231)
14:19: a0027104.exe (ID = 217340)
14:19: a0033256.dll (ID = 231231)
14:19: a0032238.dll (ID = 231231)
14:19: a0026979.exe (ID = 217340)
14:19: a0029162.exe (ID = 217340)
14:19: a0033274.dll (ID = 231231)
14:19: Found Adware: psguard\winhound fakealert
14:19: a0028126.dll (ID = 214326)
14:19: Found Adware: spysheriff
14:19: a0032224.dll (ID = 218019)
14:19: a0043412.dll (ID = 231231)
14:19: a0042411.dll (ID = 231231)
14:19: Found Trojan Horse: komforochka smtp relay
14:19: a0033264.exe (ID = 217682)
14:19: a0038410.dll (ID = 231231)
14:19: a0043443.dll (ID = 231231)
14:19: a0044516.dll (ID = 231231)
14:19: a0024960.exe (ID = 217338)
14:20: a0035274.dll (ID = 231231)
14:20: a0034274.dll (ID = 231231)
14:20: a0036293.dll (ID = 231231)
14:20: a0037309.dll (ID = 231231)
14:20: a0024962.exe (ID = 217340)
14:20: Warning: Failed to open file "c:\system volume information\_restore{5822ac14-8f25-4f37-8891-aa8984cb442d}\rp127\a0026012.exe". Accès refusé
14:20: Warning: Failed to open file "c:\system volume information\_restore{5822ac14-8f25-4f37-8891-aa8984cb442d}\rp129\a0028131.exe". Accès refusé
14:20: a0032221.dll (ID = 218016)
14:20: a0024907.dll (ID = 214326)
14:20: a0040411.dll (ID = 231231)
14:20: a0038309.dll (ID = 231231)
14:20: a0036274.dll (ID = 231231)
14:20: Found Trojan Horse: trojan-backdoor-securemulti
14:20: a0032218.exe (ID = 211843)
14:20: a0032222.dll (ID = 218017)
14:20: a0025992.exe (ID = 209376)
14:20: temp.bak (ID = 231643)
14:20: a0043477.dll (ID = 231231)
14:20: Found Trojan Horse: trojan_downloader_harnig
14:20: a0024954.exe (ID = 217730)
14:20: a0029145.exe (ID = 217340)
14:21: Found Trojan Horse: trojan-secdrop
14:21: sphlp32.exe (ID = 81237)
14:21: a0043495.dll (ID = 231231)
14:21: a0037293.dll (ID = 231231)
14:21: Found Trojan Horse: trojan-backdoor-us15info
14:21: a0024955.exe (ID = 220076)
14:21: a0031169.exe (ID = 231467)
14:21: a0044494.dll (ID = 231231)
14:21: a0049566.dll (ID = 231231)
14:21: a0024963.exe (ID = 217337)
14:21: a0032223.dll (ID = 218018)
14:21: a0047545.dll (ID = 231231)
14:21: Found Adware: coolwebsearch (cws)
14:21: a0029138.exe (ID = 217698)
14:21: a0029139.exe (ID = 217698)
14:21: a0032203.exe (ID = 231467)
14:22: a0026983.dll (ID = 214326)
14:22: a0046516.dll (ID = 231231)
14:22: a0048542.dll (ID = 231231)
14:22: a0032225.dll (ID = 218020)
14:22: a0031197.exe (ID = 231467)
14:22: Found Trojan Horse: trojan-backdoor-core.psyche-evolution.com
14:22: a0033266.dll (ID = 217328)
14:22: a0045515.dll (ID = 231231)
14:22: a0047516.dll (ID = 231231)
14:23: a0024984.dll (ID = 214326)
14:23: a0026003.dll (ID = 206115)
14:23: a0032227.exe (ID = 218022)
14:23: a0024905.exe (ID = 220040)
14:23: a0049575.exe (ID = 231643)
14:23: a0032220.dll (ID = 218015)
14:24: a0024952.exe (ID = 220040)
14:24: a0026001.exe (ID = 212818)
14:24: a0026011.exe (ID = 220040)
14:24: pppcgm.exe (ID = 125496)
14:25: a0025993.exe (ID = 209378)
14:26: idemlog.exe (ID = 205677)
14:26: a0025997.dll (ID = 206111)
14:26: a0026002.exe (ID = 206114)
14:28: a0049577.dll (ID = 73422)
14:29: a0025995.exe (ID = 209375)
14:30: Found Trojan Horse: trojan-downloader-asdbiz.biz
14:30: a0022877.exe (ID = 80237)
14:30: filesafer23.exe (ID = 209443)
14:30: a0027052.exe (ID = 220040)
14:32: Warning: Failed to open file "c:\system volume information\_restore{5822ac14-8f25-4f37-8891-aa8984cb442d}\rp127\a0023886.exe". Accès refusé
14:32: a0022879.exe (ID = 80237)
14:33: Warning: Failed to open file "c:\system volume information\_restore{5822ac14-8f25-4f37-8891-aa8984cb442d}\rp127\a0022878.exe". Accès refusé
14:39: a0029157.dll (ID = 217335)
14:39: a0027120.exe (ID = 217340)
14:39: a0027115.dll (ID = 217335)
14:39: a0027117.exe (ID = 217338)
14:39: a0030156.dll (ID = 217335)
14:39: a0024894.dll (ID = 217335)
14:39: a0024895.exe (ID = 217338)
14:39: a0024976.dll (ID = 217335)
14:39: a0025972.dll (ID = 217335)
14:39: a0024977.exe (ID = 217338)
14:39: a0025973.exe (ID = 217338)
14:39: a0027121.exe (ID = 217337)
14:39: a0028117.dll (ID = 217335)
14:39: a0028121.exe (ID = 217340)
14:39: a0027122.exe (ID = 217339)
14:40: a0025979.exe (ID = 217337)
14:40: a0025980.exe (ID = 217339)
14:40: a0029134.exe (ID = 210321)
14:40: a0026975.dll (ID = 217335)
14:40: a0028118.exe (ID = 217338)
14:40: a0028122.exe (ID = 217337)
14:40: a0028123.exe (ID = 217339)
14:40: a0026976.exe (ID = 217338)
14:40: a0029158.exe (ID = 217338)
14:40: a0029141.dll (ID = 217335)
14:42: Warning: Failed to open file "c:\system volume information\_restore{5822ac14-8f25-4f37-8891-aa8984cb442d}\rp127\a0023884.exe". Accès refusé
14:42: a0038377.dll (ID = 231231)
14:42: a0030172.exe (ID = 231467)
14:42: a0029172.dll (ID = 214326)
14:42: a0029114.exe (ID = 217338)
14:42: a0029168.exe (ID = 210321)
14:42: Warning: Failed to open file "c:\system volume information\_restore{5822ac14-8f25-4f37-8891-aa8984cb442d}\rp127\a0023899.exe". Accès refusé
14:42: Found Trojan Horse: trojan-downloader-infectedhost
14:42: a0033265.dll (ID = 201334)
14:42: a0029120.exe (ID = 217337)
14:42: a0029142.exe (ID = 217338)
14:42: a0032207.exe (ID = 80237)
14:42: a0038393.dll (ID = 231231)
14:42: a0026980.exe (ID = 217337)
14:42: a0026981.exe (ID = 217339)
14:42: a0029121.exe (ID = 217339)
14:42: a0029146.exe (ID = 217337)
14:42: a0029147.exe (ID = 217339)
14:42: a0039423.exe (ID = 209443)
14:42: Warning: Failed to open file "c:\system volume information\_restore{5822ac14-8f25-4f37-8891-aa8984cb442d}\rp127\a0027053.exe". Accès refusé
14:42: a0027099.dll (ID = 217335)
14:42: a0027100.exe (ID = 217338)
14:42: a0027105.exe (ID = 217337)
14:42: a0024985.exe (ID = 217730)
14:43: Warning: Failed to open file "c:\system volume information\_restore{5822ac14-8f25-4f37-8891-aa8984cb442d}\rp127\a0024956.exe". Accès refusé
14:43: a0024904.exe (ID = 217337)
14:43: a0029164.exe (ID = 217337)
14:43: a0029165.exe (ID = 217339)
14:43: a0029126.exe (ID = 217698)
14:43: a0047529.exe (ID = 217730)
14:43: a0047531.exe (ID = 194546)
14:44: dc266.exe (ID = 220076)
14:44: msvcrl.dll (ID = 231231)
14:44: zpmodemnt.sys (ID = 205674)
14:44: a0047530.dll (ID = 214326)
14:45: services.exe (ID = 217698)
14:45: a0027106.exe (ID = 217339)
14:47: a0031202.exe (ID = 217698)
14:49: Warning: Failed to open file "c:\system volume information\_restore{5822ac14-8f25-4f37-8891-aa8984cb442d}\rp127\a0026010.exe". Accès refusé
14:51: Found Adware: hotconnect dialer
14:51: a0014264.ico (ID = 71911)
14:52: a0026985.exe (ID = 217730)
14:57: Warning: The file sweep got stuck and had to be terminated and restarted in "safe" (slow) mode..
14:58: File Sweep Complete, Elapsed Time: 00:40:33
14:58: Full Sweep has completed. Elapsed time 00:48:14
14:58: Traces Found: 456
15:00: Removal process initiated
15:01: Quarantining All Traces: komforochka smtp relay
15:01: Quarantining All Traces: psguard\winhound fakealert
15:01: Quarantining All Traces: trojan looksy
15:01: Quarantining All Traces: trojan-backdoor-securemulti
15:02: Quarantining All Traces: trojan-backdoor-us15info
15:02: Quarantining All Traces: trojan-downloader-ruin
15:14: Program Version 4.5.8 (Build 683) Using Spyware Definitions 601
********
14:06: | Start of Session, samedi 14 janvier 2006 |
14:06: Spy Sweeper started
14:07: Your spyware definitions have been updated.
14:10: | End of Session, samedi 14 janvier 2006

   
Répondre à stephane

13

stephane, le 14 jan 2006 à 14:06:02

Bilan de la situation apres scan avec smitfraud
"broswela ne peut etre efface car il est utilise par un autre processus"
... voila sinon je continue la procedure sans utiliser spy sweeper pour le moment ou je vais essayer de le retelecharger qd meme.

a toute pr le prochaines aventures et merci de ta disponibilité!!!!

   
Répondre à stephane

14

regis59, le 14 jan 2006 à 14:10:29

Re,
si t as passé smitfraudfix , et si t as pas spy sweeper, tu continue avec spybot et ad aware, puis tu redemarres et me remet un hijack this

apres tu m atends

a+ Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansh­eestyle)

   
Répondre à regis59

15

S!Ri, le 14 jan 2006 à 14:43:58

Salut

Télécharge ici:
http://users.telenet.be/marcvn/tools/win32delfkil.exe

Installe win32delfkil.exe, lance fix.bat
poste le rapport c:\windelf.txt
avec un nouveau rapport Hijackthis.

a+

   
Répondre à S!Ri

17

regis59, le 14 jan 2006 à 17:50:59

Salut

tu peux faire le poste 15

a+ Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansh­eestyle)

   
Répondre à regis59

18

stephane, le 14 jan 2006 à 18:48:17

Bon j'ai fini les procedures mais il reste un virus. avec hijackthis apparait dans la liste le fameux 020 browserla.....
la je sais plus quoi faire......
help!

spy sweeper:
********
15:16: | Start of Session, samedi 14 janvier 2006 |
15:16: Spy Sweeper started
15:16: Sweep initiated using definitions version 601
15:16: Found Trojan Horse: trojan-downloader-2pursuit
15:16: HKCR\clsid\{31ee3286-d785-4e3f-95fc-51d00fdabc01}\inprocserv­er32\ (2 subtraces) (ID = 1098696)
15:16: browsela.dll (ID = 1098696)
15:16: HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\browsela\ || dllname (ID = 1098846)
15:16: browsela.dll (ID = 1098846)
15:16: Starting Memory Sweep
15:18: Memory Sweep Complete, Elapsed Time: 00:02:19
15:18: Starting Registry Sweep
15:18: Found Adware: zeropopup
15:18: HKCR\toolband.toolbandobj\ (5 subtraces) (ID = 128258)
15:18: Found Adware: start4search toolbar
15:18: HKCR\toolband.toolbandobj\ (5 subtraces) (ID = 128258)
15:18: Found Adware: ietoolbar
15:18: HKCR\toolband.toolbandobj\ (5 subtraces) (ID = 128258)
15:19: Found Adware: searchtoolbar
15:19: HKLM\software\searchtoolbar\ (3 subtraces) (ID = 141346)
15:19: HKLM\software\classes\toolband.toolbandobj\ (5 subtraces) (ID = 142347)
15:19: HKLM\software\classes\toolband.toolbandobj\ (5 subtraces) (ID = 142347)
15:19: HKCR\toolband.toolbandobj.1\ (3 subtraces) (ID = 143002)
15:19: Found Trojan Horse: trojan-downloader-ruin
15:19: HKLM\software\microsoft\windows\currentversion\urls\ (10 subtraces) (ID = 605127)
15:19: HKLM\software\microsoft\windows\currentversion\ruins\ (8 subtraces) (ID = 605128)
15:19: Found Adware: idesk
15:19: HKLM\system\currentcontrolset\services\zpmodemsysntdrvnt\ (11 subtraces) (ID = 1047250)
15:19: HKCR\clsid\{31ee3286-d785-4e3f-95fc-51d00fdabc01}\ (5 subtraces) (ID = 1094393)
15:19: HKLM\software\classes\clsid\{31ee3286-d785-4e3f-95fc-51d00fd­abc01}\ (5 subtraces) (ID = 1094538)
15:19: HKLM\software\microsoft\windows\currentversion\explorer\shar­edtaskscheduler\ || {31ee3286-d785-4e3f-95fc-51d00fdabc01} (ID = 1094560)
15:19: HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\browsela\ (10 subtraces) (ID = 1094567)
15:19: HKCR\clsid\{eee7178c-bbc3-4153-9dde-cd0e9ab1b5b6}\ (5 subtraces) (ID = 1098652)
15:19: HKLM\software\classes\clsid\{eee7178c-bbc3-4153-9dde-cd0e9ab­1b5b6}\ (5 subtraces) (ID = 1098686)
15:19: HKLM\software\microsoft\windows\currentversion\explorer\brow­ser helper objects\{eee7178c-bbc3-4153-9dde-cd0e9ab1b5b6}\ (ID = 1098692)
15:19: HKU\S-1-5-21-1078081533-764733703-1060284298-1003\software\m­icrosoft\internet explorer\toolbar\webbrowser\ || {08bec6aa-49fc-4379-3587-4b21e286c19e} (ID = 139177)
15:19: Found Adware: quicklink search toolbar
15:19: HKU\S-1-5-21-1078081533-764733703-1060284298-1003\software\m­icrosoft\internet explorer\toolbar\webbrowser\ || {08bec6aa-49fc-4379-3587-4b21e286c19e} (ID = 139177)
15:19: HKU\S-1-5-21-1078081533-764733703-1060284298-1003\software\s­earchtoolbar\ (5 subtraces) (ID = 141343)
15:19: HKU\S-1-5-21-1078081533-764733703-1060284298-1003\software\m­icrosoft\internet explorer\toolbar\shellbrowser\ || {08bec6aa-49fc-4379-3587-4b21e286c19e} (ID = 1020297)
15:19: HKU\S-1-5-21-1078081533-764733703-1060284298-1003\software\m­icrosoft\gsgs\ (166 subtraces) (ID = 1032011)
15:19: Found Adware: unspypc
15:19: HKU\S-1-5-21-1078081533-764733703-1060284298-1003\software\u­nspypc\ (6 subtraces) (ID = 1059779)
15:19: Registry Sweep Complete, Elapsed Time:00:00:32
15:19: Starting Cookie Sweep
15:19: Found Spy Cookie: 247realmedia cookie
15:19: odile@247realmedia[1].txt (ID = 1953)
15:19: Found Spy Cookie: xiti cookie
15:19: odile@xiti[1].txt (ID = 3717)
15:19: Cookie Sweep Complete, Elapsed Time: 00:00:00
15:19: Starting File Sweep
15:20: Found Adware: winhound
15:20: c:\documents and settings\odile\application data\winhound.com (11 subtraces) (ID = -2147462035)
15:20: Found Trojan Horse: trojan-downloader-badgirls
15:20: a0031154.exe (ID = 194546)
15:20: a0032180.exe (ID = 194546)
15:20: Found Adware: spysheriff
15:20: a0032224.dll (ID = 218019)
15:20: a0032221.dll (ID = 218016)
15:20: Found Adware: coolwebsearch (cws)
15:20: a0026012.exe (ID = 217698)
15:20: a0028131.exe (ID = 217698)
15:20: a0032222.dll (ID = 218017)
15:20: a0025992.exe (ID = 209376)
15:20: Found Trojan Horse: trojan_downloader_harnig
15:20: a0024954.exe (ID = 217730)
15:20: Found Trojan Horse: trojan-secdrop
15:20: sphlp32.exe (ID = 81237)
15:21: a0032223.dll (ID = 218018)
15:21: a0029138.exe (ID = 217698)
15:21: a0029139.exe (ID = 217698)
15:21: a0032225.dll (ID = 218020)
15:21: Found Trojan Horse: trojan-backdoor-core.psyche-evolution.com
15:21: a0033266.dll (ID = 217328)
15:22: a0026003.dll (ID = 206115)
15:22: a0032227.exe (ID = 218022)
15:22: a0032220.dll (ID = 218015)
15:23: a0026001.exe (ID = 212818)
15:23: pppcgm.exe (ID = 125496)
15:24: a0025993.exe (ID = 209378)
15:24: idemlog.exe (ID = 205677)
15:25: a0025997.dll (ID = 206111)
15:25: a0026002.exe (ID = 206114)
15:26: a0049577.dll (ID = 73422)
15:27: a0025995.exe (ID = 209375)
15:28: Found Trojan Horse: trojan-downloader-asdbiz.biz
15:28: a0022877.exe (ID = 80237)
15:28: filesafer23.exe (ID = 209443)
15:30: a0023886.exe (ID = 217698)
15:30: a0022879.exe (ID = 80237)
15:30: Found Trojan Horse: trojan-backdoor-securemulti
15:30: a0022878.exe (ID = 210321)
15:36: a0023884.exe (ID = 210321)
15:36: Found Trojan Horse: trojan-downloader-infectedhost
15:36: a0033265.dll (ID = 201334)
15:37: a0032207.exe (ID = 80237)
15:37: a0023899.exe (ID = 210321)
15:37: a0039423.exe (ID = 209443)
15:37: a0027053.exe (ID = 217698)
15:37: a0024985.exe (ID = 217730)
15:37: a0024956.exe (ID = 217698)
15:37: a0029126.exe (ID = 217698)
15:37: a0047529.exe (ID = 217730)
15:37: a0047531.exe (ID = 194546)
15:37: Found Trojan Horse: trojan-backdoor-us15info
15:37: a0051608.exe (ID = 220076)
15:37: Found Trojan Horse: trojan looksy
15:37: a0051607.dll (ID = 231231)
15:37: zpmodemnt.sys (ID = 205674)
15:38: services.exe (ID = 217698)
15:39: a0031202.exe (ID = 217698)
15:40: a0026010.exe (ID = 210321)
15:42: Found Adware: hotconnect dialer
15:42: a0014264.ico (ID = 71911)
15:43: a0026985.exe (ID = 217730)
15:44: a0023901.exe (ID = 217698)
15:45: a0024900.exe (ID = 217340)
15:45: a0032217.exe (ID = 194546)
15:45: a0024902.exe (ID = 217730)
15:45: a0029170.exe (ID = 217698)
15:45: a0024964.exe (ID = 217339)
15:45: a0023880.exe (ID = 80237)
15:45: a0031170.exe (ID = 80237)
15:45: a0023885.exe (ID = 80237)
15:45: a0023898.exe (ID = 80237)
15:45: a0024912.exe (ID = 217698)
15:45: a0027049.exe (ID = 217730)
15:45: a0030174.exe (ID = 217698)
15:45: a0026009.exe (ID = 217730)
15:45: a0031174.exe (ID = 217698)
15:46: a0030173.exe (ID = 80237)
15:46: a0032206.exe (ID = 217698)
15:46: a0029133.exe (ID = 80237)
15:46: a0023900.exe (ID = 80237)
15:46: a0024982.exe (ID = 217337)
15:46: Found Trojan Horse: trojan-downloader-hebeeaac
15:46: a0032213.exe (ID = 217732)
15:46: a0029135.exe (ID = 80237)
15:46: a0024950.exe (ID = 217730)
15:46: a0024903.exe (ID = 210321)
15:47: a0024951.exe (ID = 210321)
15:47: a0024937.dll (ID = 217335)
15:47: Found Adware: trojan-downloader-evko.biz
15:47: a0031166.exe (ID = 217733)
15:47: a0032204.exe (ID = 80237)
15:47: a0031173.exe (ID = 80237)
15:47: a0024938.exe (ID = 217338)
15:47: a0024983.exe (ID = 217339)
15:47: Found Trojan Horse: trojan-downloader-vxiframe
15:47: a0047532.exe (ID = 107123)
15:47: a0031198.exe (ID = 80237)
15:47: a0024910.exe (ID = 217730)
15:47: a0024906.exe (ID = 217339)
15:47: a0024913.exe (ID = 220076)
15:47: a0029167.exe (ID = 80237)
15:47: a0027054.exe (ID = 220076)
15:47: a0031199.exe (ID = 80237)
15:47: a0029169.exe (ID = 80237)
15:47: a0028127.exe (ID = 217730)
15:47: a0028125.exe (ID = 217698)
15:49: a0028128.exe (ID = 217730)
15:49: a0030169.exe (ID = 217733)
15:49: paradise.raw.exe (ID = 211843)
15:49: a0028130.exe (ID = 220040)
15:49: a0024981.exe (ID = 217340)
15:49: a0026013.exe (ID = 220076)
15:49: a0024940.exe (ID = 217340)
15:49: a0024942.exe (ID = 217337)
15:49: a0027051.exe (ID = 210321)
15:49: a0014262.ico (ID = 71873)
15:49: a0026000.dll (ID = 212817)
15:49: a0032226.exe (ID = 218021)
15:49: a0024943.exe (ID = 217339)
15:49: a0024959.dll (ID = 217335)
15:49: a0024953.exe (ID = 217698)
15:49: a0029125.exe (ID = 80237)
15:50: Found Adware: psguard\winhound fakealert
15:50: a0024965.dll (ID = 214326)
15:50: a0027055.exe (ID = 217698)
15:50: File Sweep Complete, Elapsed Time: 00:31:12
15:50: Full Sweep has completed. Elapsed time 00:34:15
15:50: Traces Found: 420
********
14:10: | Start of Session, samedi 14 janvier 2006 |
14:10: Spy Sweeper started
14:10: Sweep initiated using definitions version 601
14:10: Found Trojan Horse: trojan-downloader-2pursuit
14:10: HKCR\clsid\{31ee3286-d785-4e3f-95fc-51d00fdabc01}\inprocserv­er32\ (2 subtraces) (ID = 1098696)
14:10: browsela.dll (ID = 1098696)
14:10: HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\browsela\ || dllname (ID = 1098846)
14:10: browsela.dll (ID = 1098846)
14:10: Starting Memory Sweep
14:15: Found Trojan Horse: trojan-downloader-ruin
14:15: Detected running threat: C:\WINDOWS\explorer.exe (ID = 81)
14:17: Memory Sweep Complete, Elapsed Time: 00:06:39
14:17: Starting Registry Sweep
14:17: Found Adware: zeropopup
14:17: HKCR\toolband.toolbandobj\ (5 subtraces) (ID = 128258)
14:17: Found Adware: start4search toolbar
14:17: HKCR\toolband.toolbandobj\ (5 subtraces) (ID = 128258)
14:17: Found Adware: ietoolbar
14:17: HKCR\toolband.toolbandobj\ (5 subtraces) (ID = 128258)
14:17: Found Adware: searchtoolbar
14:17: HKLM\software\searchtoolbar\ (3 subtraces) (ID = 141346)
14:17: HKLM\software\classes\toolband.toolbandobj\ (5 subtraces) (ID = 142347)
14:17: HKLM\software\classes\toolband.toolbandobj\ (5 subtraces) (ID = 142347)
14:17: HKCR\toolband.toolbandobj.1\ (3 subtraces) (ID = 143002)
14:18: HKLM\software\microsoft\windows\currentversion\urls\ (10 subtraces) (ID = 605127)
14:18: HKLM\software\microsoft\windows\currentversion\ruins\ (8 subtraces) (ID = 605128)
14:18: Found Adware: idesk
14:18: HKLM\system\currentcontrolset\services\zpmodemsysntdrvnt\ (12 subtraces) (ID = 1047250)
14:18: HKCR\clsid\{31ee3286-d785-4e3f-95fc-51d00fdabc01}\ (5 subtraces) (ID = 1094393)
14:18: HKLM\software\classes\clsid\{31ee3286-d785-4e3f-95fc-51d00fd­abc01}\ (5 subtraces) (ID = 1094538)
14:18: HKLM\software\microsoft\windows\currentversion\explorer\shar­edtaskscheduler\ || {31ee3286-d785-4e3f-95fc-51d00fdabc01} (ID = 1094560)
14:18: HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\browsela\ (10 subtraces) (ID = 1094567)
14:18: HKCR\clsid\{eee7178c-bbc3-4153-9dde-cd0e9ab1b5b6}\ (5 subtraces) (ID = 1098652)
14:18: HKLM\software\classes\clsid\{eee7178c-bbc3-4153-9dde-cd0e9ab­1b5b6}\ (5 subtraces) (ID = 1098686)
14:18: HKLM\software\microsoft\windows\currentversion\explorer\brow­ser helper objects\{eee7178c-bbc3-4153-9dde-cd0e9ab1b5b6}\ (ID = 1098692)
14:18: HKU\S-1-5-21-1078081533-764733703-1060284298-1003\software\m­icrosoft\internet explorer\toolbar\webbrowser\ || {08bec6aa-49fc-4379-3587-4b21e286c19e} (ID = 139177)
14:18: Found Adware: quicklink search toolbar
14:18: HKU\S-1-5-21-1078081533-764733703-1060284298-1003\software\m­icrosoft\internet explorer\toolbar\webbrowser\ || {08bec6aa-49fc-4379-3587-4b21e286c19e} (ID = 139177)
14:18: HKU\S-1-5-21-1078081533-764733703-1060284298-1003\software\s­earchtoolbar\ (5 subtraces) (ID = 141343)
14:18: HKU\S-1-5-21-1078081533-764733703-1060284298-1003\software\m­icrosoft\internet explorer\toolbar\shellbrowser\ || {08bec6aa-49fc-4379-3587-4b21e286c19e} (ID = 1020297)
14:18: HKU\S-1-5-21-1078081533-764733703-1060284298-1003\software\m­icrosoft\gsgs\ (166 subtraces) (ID = 1032011)
14:18: Found Adware: unspypc
14:18: HKU\S-1-5-21-1078081533-764733703-1060284298-1003\software\u­nspypc\ (6 subtraces) (ID = 1059779)
14:18: Registry Sweep Complete, Elapsed Time:00:00:48
14:18: Starting Cookie Sweep
14:18: Found Spy Cookie: 247realmedia cookie
14:18: odile@247realmedia[1].txt (ID = 1953)
14:18: Found Spy Cookie: xiti cookie
14:18: odile@xiti[1].txt (ID = 3717)
14:18: Cookie Sweep Complete, Elapsed Time: 00:00:01
14:18: Starting File Sweep
14:18: Found Adware: winhound
14:18: c:\documents and settings\odile\application data\winhound.com (11 subtraces) (ID = -2147462035)
14:18: Found Trojan Horse: trojan-downloader-badgirls
14:18: a0031154.exe (ID = 194546)
14:18: Found Trojan Horse: trojan looksy
14:18: a0031184.dll (ID = 231231)
14:18: a0032259.dll (ID = 231231)
14:18: a0039411.dll (ID = 231231)
14:18: a0031159.dll (ID = 231231)
14:18: a0029119.exe (ID = 217340)
14:18: a0025978.exe (ID = 217340)
14:18: a0032180.exe (ID = 194546)
14:18: a0049542.dll (ID = 231231)
14:18: a0041411.dll (ID = 231231)
14:19: a0032186.dll (ID = 231231)
14:19: a0027104.exe (ID = 217340)
14:19: a0033256.dll (ID = 231231)
14:19: a0032238.dll (ID = 231231)
14:19: a0026979.exe (ID = 217340)
14:19: a0029162.exe (ID = 217340)
14:19: a0033274.dll (ID = 231231)
14:19: Found Adware: psguard\winhound fakealert
14:19: a0028126.dll (ID = 214326)
14:19: Found Adware: spysheriff
14:19: a0032224.dll (ID = 218019)
14:19: a0043412.dll (ID = 231231)
14:19: a0042411.dll (ID = 231231)
14:19: Found Trojan Horse: komforochka smtp relay
14:19: a0033264.exe (ID = 217682)
14:19: a0038410.dll (ID = 231231)
14:19: a0043443.dll (ID = 231231)
14:19: a0044516.dll (ID = 231231)
14:19: a0024960.exe (ID = 217338)
14:20: a0035274.dll (ID = 231231)
14:20: a0034274.dll (ID = 231231)
14:20: a0036293.dll (ID = 231231)
14:20: a0037309.dll (ID = 231231)
14:20: a0024962.exe (ID = 217340)
14:20: Warning: Failed to open file "c:\system volume information\_restore{5822ac14-8f25-4f37-8891-aa8984cb442d}\rp127\a0026012.exe". Accès refusé
14:20: Warning: Failed to open file "c:\system volume information\_restore{5822ac14-8f25-4f37-8891-aa8984cb442d}\rp129\a0028131.exe". Accès refusé
14:20: a0032221.dll (ID = 218016)
14:20: a0024907.dll (ID = 214326)
14:20: a0040411.dll (ID = 231231)
14:20: a0038309.dll (ID = 231231)
14:20: a0036274.dll (ID = 231231)
14:20: Found Trojan Horse: trojan-backdoor-securemulti
14:20: a0032218.exe (ID = 211843)
14:20: a0032222.dll (ID = 218017)
14:20: a0025992.exe (ID = 209376)
14:20: temp.bak (ID = 231643)
14:20: a0043477.dll (ID = 231231)
14:20: Found Trojan Horse: trojan_downloader_harnig
14:20: a0024954.exe (ID = 217730)
14:20: a0029145.exe (ID = 217340)
14:21: Found Trojan Horse: trojan-secdrop
14:21: sphlp32.exe (ID = 81237)
14:21: a0043495.dll (ID = 231231)
14:21: a0037293.dll (ID = 231231)
14:21: Found Trojan Horse: trojan-backdoor-us15info
14:21: a0024955.exe (ID = 220076)
14:21: a0031169.exe (ID = 231467)
14:21: a0044494.dll (ID = 231231)
14:21: a0049566.dll (ID = 231231)
14:21: a0024963.exe (ID = 217337)
14:21: a0032223.dll (ID = 218018)
14:21: a0047545.dll (ID = 231231)
14:21: Found Adware: coolwebsearch (cws)
14:21: a0029138.exe (ID = 217698)
14:21: a0029139.exe (ID = 217698)
14:21: a0032203.exe (ID = 231467)
14:22: a0026983.dll (ID = 214326)
14:22: a0046516.dll (ID = 231231)
14:22: a0048542.dll (ID = 231231)
14:22: a0032225.dll (ID = 218020)
14:22: a0031197.exe (ID = 231467)
14:22: Found Trojan Horse: trojan-backdoor-core.psyche-evolution.com
14:22: a0033266.dll (ID = 217328)
14:22: a0045515.dll (ID = 231231)
14:22: a0047516.dll (ID = 231231)
14:23: a0024984.dll (ID = 214326)
14:23: a0026003.dll (ID = 206115)
14:23: a0032227.exe (ID = 218022)
14:23: a0024905.exe (ID = 220040)
14:23: a0049575.exe (ID = 231643)
14:23: a0032220.dll (ID = 218015)
14:24: a0024952.exe (ID = 220040)
14:24: a0026001.exe (ID = 212818)
14:24: a0026011.exe (ID = 220040)
14:24: pppcgm.exe (ID = 125496)
14:25: a0025993.exe (ID = 209378)
14:26: idemlog.exe (ID = 205677)
14:26: a0025997.dll (ID = 206111)
14:26: a0026002.exe (ID = 206114)
14:28: a0049577.dll (ID = 73422)
14:29: a0025995.exe (ID = 209375)
14:30: Found Trojan Horse: trojan-downloader-asdbiz.biz
14:30: a0022877.exe (ID = 80237)
14:30: filesafer23.exe (ID = 209443)
14:30: a0027052.exe (ID = 220040)
14:32: Warning: Failed to open file "c:\system volume information\_restore{5822ac14-8f25-4f37-8891-aa8984cb442d}\rp127\a0023886.exe". Accès refusé
14:32: a0022879.exe (ID = 80237)
14:33: Warning: Failed to open file "c:\system volume information\_restore{5822ac14-8f25-4f37-8891-aa8984cb442d}\rp127\a0022878.exe". Accès refusé
14:39: a0029157.dll (ID = 217335)
14:39: a0027120.exe (ID = 217340)
14:39: a0027115.dll (ID = 217335)
14:39: a0027117.exe (ID = 217338)
14:39: a0030156.dll (ID = 217335)
14:39: a0024894.dll (ID = 217335)
14:39: a0024895.exe (ID = 217338)
14:39: a0024976.dll (ID = 217335)
14:39: a0025972.dll (ID = 217335)
14:39: a0024977.exe (ID = 217338)
14:39: a0025973.exe (ID = 217338)
14:39: a0027121.exe (ID = 217337)
14:39: a0028117.dll (ID = 217335)
14:39: a0028121.exe (ID = 217340)
14:39: a0027122.exe (ID = 217339)
14:40: a0025979.exe (ID = 217337)
14:40: a0025980.exe (ID = 217339)
14:40: a0029134.exe (ID = 210321)
14:40: a0026975.dll (ID = 217335)
14:40: a0028118.exe (ID = 217338)
14:40: a0028122.exe (ID = 217337)
14:40: a0028123.exe (ID = 217339)
14:40: a0026976.exe (ID = 217338)
14:40: a0029158.exe (ID = 217338)
14:40: a0029141.dll (ID = 217335)
14:42: Warning: Failed to open file "c:\system volume information\_restore{5822ac14-8f25-4f37-8891-aa8984cb442d}\rp127\a0023884.exe". Accès refusé
14:42: a0038377.dll (ID = 231231)
14:42: a0030172.exe (ID = 231467)
14:42: a0029172.dll (ID = 214326)
14:42: a0029114.exe (ID = 217338)
14:42: a0029168.exe (ID = 210321)
14:42: Warning: Failed to open file "c:\system volume information\_restore{5822ac14-8f25-4f37-8891-aa8984cb442d}\rp127\a0023899.exe". Accès refusé
14:42: Found Trojan Horse: trojan-downloader-infectedhost
14:42: a0033265.dll (ID = 201334)
14:42: a0029120.exe (ID = 217337)
14:42: a0029142.exe (ID = 217338)
14:42: a0032207.exe (ID = 80237)
14:42: a0038393.dll (ID = 231231)
14:42: a0026980.exe (ID = 217337)
14:42: a0026981.exe (ID = 217339)
14:42: a0029121.exe (ID = 217339)
14:42: a0029146.exe (ID = 217337)
14:42: a0029147.exe (ID = 217339)
14:42: a0039423.exe (ID = 209443)
14:42: Warning: Failed to open file "c:\system volume information\_restore{5822ac14-8f25-4f37-8891-aa8984cb442d}\rp127\a0027053.exe". Accès refusé
14:42: a0027099.dll (ID = 217335)
14:42: a0027100.exe (ID = 217338)
14:42: a0027105.exe (ID = 217337)
14:42: a0024985.exe (ID = 217730)
14:43: Warning: Failed to open file "c:\system volume information\_restore{5822ac14-8f25-4f37-8891-aa8984cb442d}\rp127\a0024956.exe". Accès refusé
14:43: a0024904.exe (ID = 217337)
14:43: a0029164.exe (ID = 217337)
14:43: a0029165.exe (ID = 217339)
14:43: a0029126.exe (ID = 217698)
14:43: a0047529.exe (ID = 217730)
14:43: a0047531.exe (ID = 194546)
14:44: dc266.exe (ID = 220076)
14:44: msvcrl.dll (ID = 231231)
14:44: zpmodemnt.sys (ID = 205674)
14:44: a0047530.dll (ID = 214326)
14:45: services.exe (ID = 217698)
14:45: a0027106.exe (ID = 217339)
14:47: a0031202.exe (ID = 217698)
14:49: Warning: Failed to open file "c:\system volume information\_restore{5822ac14-8f25-4f37-8891-aa8984cb442d}\rp127\a0026010.exe". Accès refusé
14:51: Found Adware: hotconnect dialer
14:51: a0014264.ico (ID = 71911)
14:52: a0026985.exe (ID = 217730)
14:57: Warning: The file sweep got stuck and had to be terminated and restarted in "safe" (slow) mode..
14:58: File Sweep Complete, Elapsed Time: 00:40:33
14:58: Full Sweep has completed. Elapsed time 00:48:14
14:58: Traces Found: 456
15:00: Removal process initiated
15:01: Quarantining All Traces: komforochka smtp relay
15:01: Quarantining All Traces: psguard\winhound fakealert
15:01: Quarantining All Traces: trojan looksy
15:01: Quarantining All Traces: trojan-backdoor-securemulti
15:02: Quarantining All Traces: trojan-backdoor-us15info
15:02: Quarantining All Traces: trojan-downloader-ruin
15:14: Program Version 4.5.8 (Build 683) Using Spyware Definitions 601
********
14:06: | Start of Session, samedi 14 janvier 2006 |
14:06: Spy Sweeper started
14:07: Your spyware definitions have been updated.
14:10: | End of Session, samedi 14 janvier 2006


******* AD AWARE*****

Ad-Aware SE Build 1.06r1
Fichier journal créé le :samedi 14 janvier 2006 16:46:56
Created with Ad-Aware SE Personal, free for private use.
Utilisation du fichier de définitions :SE1R86 11.01.2006
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Références détectées lors de l’analyse :
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Masta Dialer(Index TAC :5):3 Nombre total de références
MRU List(Index TAC :0):31 Nombre total de références
Tracking Cookie(Index TAC :3):1 Nombre total de références
UnSpyPC(Index TAC :6):3 Nombre total de références
Win32.Backdoor.Agent(Index TAC :10):1 Nombre total de références
Win32.TrojanClicker(Index TAC :6):3 Nombre total de références
Windows(Index TAC :3):1 Nombre total de références
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Définir : Rechercher les entrées à risque négligeable
Définir : Mode sécurisé (tjrs demander confirm.)
Définir : Analyser les processus actifs
Définir : Scan registry
Définir : Analyser en profondeur le registre
Définir : Analyser mes favoris IE pour rech. URL interdites
Définir : Analyser mon fichier Hosts

Extended Ad-Aware SE Settings
===========================
Définir : Décharger les modules et les processus reconnus pendant l’analyse
Définir : Anal. reg. pr tous utili. et non pr utili. actuel uniqmnt
Définir : Toujours essayer de décharger les modules avant la suppression
Définir : Lors de la suppression, décharger l’Explorateur et IE si nécessaire
Définir : Perm. Win. supp. fich. en cours au proch. démar.
Définir : Supprimer les objets en quarantaine après la restauration
Définir : Inclure les paramètres de base d'Ad-Aware dans le fichier journal
Définir : Inclure les paramètres de base d'Ad-Aware dans le fichier journal
Définir : Inclure un récapitulatif des références dans le fichier journal
Définir : Inclure les détails des données ADS dans le fichier journal
Définir : Émettre un son à la fin de l’analyse en cas de détection d'objets critiques


14-01-2006 16:46:56 - L’analyse a démarré. (Analyse complète du système)

MRU List Objet reconnu !
Emplacement : : C:\Documents and Settings\odile\recent
Description : list of recently opened documents


MRU List Objet reconnu !
Emplacement : : S-1-5-21-1078081533-764733703-1060284298-1003\software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct3d


MRU List Objet reconnu !
Emplacement : : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct3d


MRU List Objet reconnu !
Emplacement : : S-1-5-21-1078081533-764733703-1060284298-1003\software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct X


MRU List Objet reconnu !
Emplacement : : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct X


MRU List Objet reconnu !
Emplacement : : software\microsoft\directdraw\mostrecentapplication
Description : most recent application to use microsoft directdraw


MRU List Objet reconnu !
Emplacement : : S-1-5-21-1078081533-764733703-1060284298-1003\software\microsoft\directinput\mostrecentapplication
Description : most recent application to use microsoft directinput


MRU List Objet reconnu !
Emplacement : : S-1-5-21-1078081533-764733703-1060284298-1003\software\microsoft\directinput\mostrecentapplication
Description : most recent application to use microsoft directinput


MRU List Objet reconnu !
Emplacement : : S-1-5-21-1078081533-764733703-1060284298-1003\software\microsoft\frontpage\explorer\frontpage explorer\recent file list
Description : list of recently used files in microsoft frontpage


MRU List Objet reconnu !
Emplacement : : S-1-5-21-1078081533-764733703-1060284298-1003\software\microsoft\frontpage\explorer\frontpage explorer\recent page list
Description : list of recently used pages in microsoft frontpage


MRU List Objet reconnu !
Emplacement : : S-1-5-21-1078081533-764733703-1060284298-1003\software\microsoft\frontpage\explorer\frontpage explorer\recent web list
Description : list of recently used webs in microsoft frontpage


MRU List Objet reconnu !
Emplacement : : S-1-5-21-1078081533-764733703-1060284298-1003\software\microsoft\internet explorer
Description : last download directory used in microsoft internet explorer


MRU List Objet reconnu !
Emplacement : : S-1-5-21-1078081533-764733703-1060284298-1003\software\microsoft\internet explorer\typedurls
Description : list of recently entered addresses in microsoft internet explorer


MRU List Objet reconnu !
Emplacement : : S-1-5-21-1078081533-764733703-1060284298-1003\software\microsoft\mediaplayer\medialibraryui
Description : last selected node in the microsoft windows media player media library


MRU List Objet reconnu !
Emplacement : : S-1-5-21-1078081533-764733703-1060284298-1003\software\microsoft\mediaplayer\player\recentfilelist
Description : list of recently used files in microsoft windows media player


MRU List Objet reconnu !
Emplacement : : S-1-5-21-1078081533-764733703-1060284298-1003\software\microsoft\mediaplayer\player\settings
Description : last save as directory used in jasc paint shop pro


MRU List Objet reconnu !
Emplacement : : S-1-5-21-1078081533-764733703-1060284298-1003\software\microsoft\mediaplayer\player\settings
Description : last open directory used in jasc paint shop pro


MRU List Objet reconnu !
Emplacement : : S-1-5-21-1078081533-764733703-1060284298-1003\software\microsoft\mediaplayer\preferences
Description : last playlist index loaded in microsoft windows media player


MRU List Objet reconnu !
Emplacement : : S-1-5-21-1078081533-764733703-1060284298-1003\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Objet reconnu !
Emplacement : : S-1-5-21-1078081533-764733703-1060284298-1003\software\microsoft\mediaplayer\preferences
Description : last search path used in microsoft windows media player


MRU List Objet reconnu !
Emplacement : : S-1-5-21-1078081533-764733703-1060284298-1003\software\microsoft\microsoft management console\recent file list
Description : list of recent snap-ins used in the microsoft management console


MRU List Objet reconnu !
Emplacement : : S-1-5-21-1078081533-764733703-1060284298-1003\software\microsoft\office\10.0\excel\recent files
Description : list of recent files used by microsoft excel


MRU List Objet reconnu !
Emplacement : : S-1-5-21-1078081533-764733703-1060284298-1003\software\microsoft\office\10.0\powerpoint\recent file list
Description : list of recent files used by microsoft powerpoint


MRU List Objet reconnu !
Emplacement : : S-1-5-21-1078081533-764733703-1060284298-1003\software\microsoft\search assistant\acmru
Description : list of recent search terms used with the search assistant


MRU List Objet reconnu !
Emplacement : : S-1-5-21-1078081533-764733703-1060284298-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
Description : list of recent programs opened


MRU List Objet reconnu !
Emplacement : : S-1-5-21-1078081533-764733703-1060284298-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
Description : list of recently saved files, stored according to file extension


MRU List Objet reconnu !
Emplacement : : S-1-5-21-1078081533-764733703-1060284298-1003\software\microsoft\windows\currentversion\explorer\recentdocs
Description : list of recent documents opened


MRU List Objet reconnu !
Emplacement : : .DEFAULT\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


MRU List Objet reconnu !
Emplacement : : S-1-5-18\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


MRU List Objet reconnu !
Emplacement : : S-1-5-21-1078081533-764733703-1060284298-1003\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


MRU List Objet reconnu !
Emplacement : : S-1-5-21-1078081533-764733703-1060284298-1003\software\winrar\dialogedithistory\extrpath
Description : winrar "extract-to" history


Affichage des processus en cours d'exécution
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 144
ThreadCreationTime : 14-01-2006 15:42:46
BasePriority : Normal


#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 192
ThreadCreationTime : 14-01-2006 15:42:59
BasePriority : Normal


#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 216
ThreadCreationTime : 14-01-2006 15:43:02
BasePriority : High


#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 260
ThreadCreationTime : 14-01-2006 15:43:08
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Système d'exploitation Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Applications Services et Contrôleur
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Tous droits réservés.
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 272
ThreadCreationTime : 14-01-2006 15:43:08
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 464
ThreadCreationTime : 14-01-2006 15:43:15
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 524
ThreadCreationTime : 14-01-2006 15:43:17
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 584
ThreadCreationTime : 14-01-2006 15:43:19
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:9 [wrsssdk.exe]
FilePath : C:\Program Files\Webroot\Spy Sweeper\
ProcessID : 640
ThreadCreationTime : 14-01-2006 15:43:21
BasePriority : Normal
FileVersion : 2,0,8,483
ProductVersion : 2, 0
ProductName : Spy Sweeper SDK
CompanyName : Webroot Software, Inc.
FileDescription : Spy Sweeper SDK
LegalCopyright : Copyright (C) 2002 - 2005, All Rights Reserved.
LegalTrademarks : Spy Sweeper is a trademark of Webroot Software, Inc.
OriginalFilename : SpySweeper.exe

#:10 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 844
ThreadCreationTime : 14-01-2006 15:43:35
BasePriority : Normal
FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 6.00.2900.2180
ProductName : Système d'exploitation Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Explorateur Windows
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Tous droits réservés.
OriginalFilename : EXPLORER.EXE

#:11 [ad-aware.exe]
FilePath : C:\Program Files\Lavasoft\Ad-Aware SE Personal\
ProcessID : 964
ThreadCreationTime : 14-01-2006 15:43:59
BasePriority : Normal
FileVersion : 6.2.0.236
ProductVersion : SE 106
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft AB Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Résultat de l’analyse de la mémoire :
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nouv. obj. critiques : 0
Objets détectés jusqu'à présent : 31


Analyse du registre démarrée
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Masta Dialer Objet reconnu !
Type : Regkey
Données :
Notation TAC : 5
Catégorie : Malware
Commentaire :
Rootkey : HKEY_USERS
Objet : S-1-5-21-1078081533-764733703-1060284298-1003\software\masta

Windows Objet reconnu !
Type : RegData
Données :
Notation TAC : 3
Catégorie : Vulnerability
Commentaire : Possible unwanted restriction from adding/removing toolbars
Rootkey : HKEY_USERS
Objet : S-1-5-21-1078081533-764733703-1060284298-1003\software\microsoft\windows\currentversion\policies\explorer
Valeur : NoBandCustomize
Données :

Résultat de l’analyse du registre :
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nouv. obj. critiques : 2
Objets détectés jusqu'à présent : 33


Analyse approfondie du registre démarrée
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Résultat de l’analyse approfondie du registre :
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nouv. obj. critiques : 0
Objets détectés jusqu'à présent : 33


Analyse des cookies de suivi lancée
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking Cookie Objet reconnu !
Type : IECache Entry
Données : odile@247realmedia[1].txt
Notation TAC : 3
Catégorie : Data Miner
Commentaire : Hits:1
Valeur : Cookie:odile@247realmedia.com/
Expires : 01-01-2021 01:00:00
LastSync : Hits:1
UseCount : 0
Hits : 1

Résultat de l’analyse des cookies de suivi :
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nouv. obj. critiques : 1
Objets détectés jusqu'à présent : 34



Analyse et examen approfondis des fichiers (C:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Win32.Backdoor.Agent Objet reconnu !
Type : Fichier
Données : A0052602.exe
Notation TAC : 10
Catégorie : Virus
Commentaire :
Objet : C:\System Volume Information\_restore{5822AC14-8F25-4F37-8891-AA8984CB442D}\RP141\
FileVersion : 1, 0, 0, 1
ProductVersion : 1, 0, 0, 1
ProductName : idesk Application
FileDescription : idesk MFC Application
InternalName : idesk
LegalCopyright : Copyright (C) 2005
OriginalFilename : idesk.EXE


UnSpyPC Objet reconnu !
Type : Fichier
Données : A0052603.exe
Notation TAC : 6
Catégorie : Misc
Commentaire :
Objet : C:\System Volume Information\_restore{5822AC14-8F25-4F37-8891-AA8984CB442D}\RP141\



Win32.TrojanClicker Objet reconnu !
Type : Fichier
Données : A0052605.exe
Notation TAC : 6
Catégorie : Data Miner
Commentaire :
Objet : C:\System Volume Information\_restore{5822AC14-8F25-4F37-8891-AA8984CB442D}\RP141\



Résultat de l’analyse du disque pour C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nouv. obj. critiques : 0
Objets détectés jusqu'à présent : 37


Analyse du fichier Hosts…...
Emplacement du fichier Hosts :"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Résultat d’analyse du fichier Hosts :
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entrées analysées.
Nouv. obj. critiques :0
Objets détectés jusqu'à présent : 37




Analyses conditionnelles en cours...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Masta Dialer Objet reconnu !
Type : Dossier
Notation TAC : 5
Catégorie : Malware
Commentaire : Masta Dialer
Objet : C:\Program Files\Masta

Masta Dialer Objet reconnu !
Type : Fichier
Données : copaincopine.exe
Notation TAC : 5
Catégorie : Malware
Commentaire :
Objet : C:\Program Files\masta\



UnSpyPC Objet reconnu !
Type : Dossier
Notation TAC : 6
Catégorie : Misc
Commentaire : UnSpyPC
Objet : C:\Program Files\UnSpyPC

UnSpyPC Objet reconnu !
Type : Fichier
Données : uns.tmp
Notation TAC : 6
Catégorie : Misc
Commentaire :
Objet : C:\Documents and Settings\odile\Application Data\



Win32.TrojanClicker Objet reconnu !
Type : Regkey
Données :
Notation TAC : 6
Catégorie : Data Miner
Commentaire :
Rootkey : HKEY_LOCAL_MACHINE
Objet : software\microsoft\downloadmanager

Win32.TrojanClicker Objet reconnu !
Type : RegData
Données : c:\windows\system32\userinit.exe,
Notation TAC : 6
Catégorie : Data Miner
Commentaire :
Rootkey : HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows nt\currentversion\winlogon
Valeur : Userinit
Données : c:\windows\system32\userinit.exe,

Résultat d’analyse conditionnelle :
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nouv. obj. critiques : 6
Objets détectés jusqu'à présent : 43

17:01:45 Analyse terminée

Récap. de cette anal.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Durée tot. analyse :00:14:49.369
Objets analysés :90598
Objets identifiés :12
Objets ignorés :0
Nouv. obj. critiques :12


****SPYBOT n'a donne aucun resultat d'infection TT EST OK******


Rapport avec HIjackthis
Logfile of HijackThis v1.99.1
Scan saved at 18:01:39, on 14/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rmctrl.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\alt.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\alg.exe
C:\Documents and Settings\odile\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gocyberlink.com/registration/registration1.asp?SoftWare=POWERDVD&Version_Num=5.0&Cd_Key=DX88183R73239812&Company=Company&FName=.&Lang=Enu
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AlexaToolbar] C:\WINDOWS\alt.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: browsela - C:\WINDOWS\system32\browsela.dll (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

A +....

   
Répondre à stephane

19

regis59, le 14 jan 2006 à 19:11:12

Salut

fais ca


Télécharge ici:
http://users.telenet.be/marcvn/tools/win32delfkil.exe

Installe win32delfkil.exe, lance fix.bat
poste le rapport c:\windelf.txt
avec un nouveau rapport Hijackthis.
Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansh­eestyle)

   
Répondre à regis59

20

aranjuez31, le 14 jan 2006 à 19:28:57

Bsr steph
vide la quarantaine d'ad-aware sinon tu vas montrer les mêmes choses à chaque fois "Accroche ta charrue à une étoile et ton sillon sera droit" (proverbe berbére)

   
Répondre à aranjuez31

21

stephane, le 14 jan 2006 à 19:49:49

Voila les deux rapports, concernant la quarantaine d'ad-aware il n'y a aucun element.....

************************
* WIN32DELFKIL LOGFILE *
************************
by Marckie


BEFORE RUNNING WIN32DELFKIL
***************************

File(s) found in Windows directory
----------------------------------
g1025334.dll
g1336421.dll

File(s) found in system32 folder
--------------------------------

SharedTaskScheduler key
-----------------------

SteelWerX Registry Console Tool 1.0
Written by Bobbi Flekman © 2005

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion­\explorer\sharedtaskscheduler
{438755C2-A8BA-11D1-B96B-00A0C90312E1} REG_SZ Pré-chargeur Browseui
{8C7461EF-2B13-11d2-BE35-3078302C2030} REG_SZ Démon de cache des catégories de composant

Notify key
----------



AFTER RUNNING WIN32DELFKIL
**************************

File(s) found in Windows directory
----------------------------------
g1025334.dll
g1336421.dll

File(s) found in system32 folder
--------------------------------

SharedTaskScheduler key
-----------------------

SteelWerX Registry Console Tool 1.0
Written by Bobbi Flekman © 2005

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion­\explorer\sharedtaskscheduler
{438755C2-A8BA-11D1-B96B-00A0C90312E1} REG_SZ Pré-chargeur Browseui
{8C7461EF-2B13-11d2-BE35-3078302C2030} REG_SZ Démon de cache des catégories de composant

Notify key




Logfile of HijackThis v1.99.1
Scan saved at 19:40:00, on 14/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rmctrl.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\alg.exe
C:\Documents and Settings\odile\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gocyberlink.com/registration/registration1.asp?SoftWare=POWERDVD&Version_Num=5.0&Cd_Key=DX88183R73239812&Company=Company&FName=.&Lang=Enu
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

   
Répondre à stephane

22

regis59, le 14 jan 2006 à 20:24:43

Re

¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing)

------------------------------------------------------------­----------------
¤Recherche et supprime ceci:
attention seulement les fichiers (si présents).

C:\Norman

------------------------------------------------------------­----------------
¤Arrête ces services :

Clique sur Démarrer->exécuter->tape: services.msc

Double-clique: Service: Norman API-hooking helper

Règle-le sur "Arrêté" et "Désactivé".


et dis moi les soucis qu il te reste

a+ Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansheestyle)

   
Répondre à regis59

27

aranjuez31, le 15 jan 2006 à 02:14:47

Soir regis
pas couché
j'me ddais s'il avait tjrs Norman comme p-feu ou antivir..... "Accroche ta charrue à une étoile et ton sillon sera droit" (proverbe berbére)

   
Répondre à aranjuez31

28

aranjuez31, le 15 jan 2006 à 02:19:34

Re

cmt interprêter le before et l'after du fix puisque pareil, stp ? "Accroche ta charrue à une étoile et ton sillon sera droit" (proverbe berbére)

   
Répondre à aranjuez31

23

stephane, le 14 jan 2006 à 22:01:59

Re
j'ai effectue les procedures indiquees voila le dernier rapport

je n'ai plus d'alerte virale mais sur une page internet comme google lorsque je clique sur les titres de liens, une nouvelle fenetre s'ouvre (normal) mais sur une autre page avec une autre adresse...... mystere...

sinon spy sweeper a subit des dommages et on me demande de le reinstaller. Que faire?

enfin que me conseilles-tu de faire quelles analyses me conseillerais_tu de faire pour eviter au max les virus???

merci encore beaucoup
a +

Logfile of HijackThis v1.99.1
Scan saved at 21:52:04, on 14/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rmctrl.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Documents and Settings\odile\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gocyberlink.com/registration/registration1.asp?SoftWare=POWERDVD&Version_Num=5.0&Cd_Key=DX88183R73239812&Company=Company&FName=.&Lang=Enu
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

   
Répondre à stephane
52 réponses 123 Suivant
Posez votre question Répondre
Ils ont besoin de votre aide