Your computer is infected

C:\Program Files\Daily Weather Forecast\ PRESENT
a fixer
La j’ai un gros doute
C:\Documents and Settings\Julien\Application Data\ivfsqtvkit.exe

pourrions nous avoir un complement avec un hitjacthis
merci Malheureusement nous ne vivons plus sur le passé.
Foncés, la vie est si courte.

Voici l'analyse avec hitjacthis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:39:11, on 10/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\SRS Labs\Audio Sandbox\SRSSSC.exe
C:\Documents and Settings\Julien\Application Data\ivfsqtvkit.exe
C:\Program Files\AOL 9.0\aoltray.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Documents and Settings\Julien\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.anpe.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SRS Audio Sandbox] "C:\Program Files\SRS Labs\Audio Sandbox\SRSSSC.exe" /hideme
O4 - HKCU\..\Run: [Microsft Windows Adapter 5.1.3013] C:\Documents and Settings\Julien\Application Data\ivfsqtvkit.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Documents and Settings\Julien\Bureau\Titan Poker\casino.exe (file missing)
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Documents and Settings\Julien\Bureau\Titan Poker\casino.exe (file missing)
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Documents and Settings\Julien\Mes documents\Mes eBooks\CDPoker\casino.exe
O9 - Extra 'Tools' menuitem: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Documents and Settings\Julien\Mes documents\Mes eBooks\CDPoker\casino.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Bodog Poker - {F47C1DB5-ED21-4dc1-853E-D1495792D4C5} - C:\Program Files\Bodog Poker\BPGame.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
End of file - 6704 bytes

Bonsoir,

Rends toi sur ce site :

http://www.virustotal.com/

Clique sur parcourir et cherche ce fichier : C:\Documents and Settings\Julien\Application Data\ivfsqtvkit.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.
@+
Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal ­quatre.

Merci pour ta réponse Lyonnais 92, mais j'ai effacer le fichier :C:\Documents and Settings\Julien\Application Data\ivfsqtvkit.exe
après l'analyse effectuée par Hitjackthis. J'avais remarqué que losque je cliquais sur la fenêtre "Your computer is infected" windows essayait de lancer ce programme sans succès. Depuis que je l'ai supprimé, le message d'alerte à disparu.
Merci à Lecristal, Marie, et Lyonnais pour votre aide.
J'espère que ma réponse pourra aider d'autres personnes ayant le même problème.
@+ , Spydy

merci Malheureusement nous ne vivons plus sur le passé.
Foncés, la vie est si courte.

Bonjour,

pourrais tu rechercher un sous-répertoire Awola sur ton ordi :

Clic droit sur démarrer, rechercher, mettre Awola dans la fenêtre de recherche et règle le scan sur la totalité du poste de travail.

Normalement, cette ligne

O4 - HKCU\..\Run: [Microsft Windows Adapter 5.1.3013] C:\Documents and Settings\Julien\Application Data\aléatoire.exe
est installé par ce faux anti spy (et vrai malware).
@+
Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal ­quatre.

Je n'ai pas trouvé de sous-répertoire Awola en faisant la recherche. Par contre, j'ai trouvé en faisant une recherche dans Application Data un fichier C:\Documents and Settings\Julien\Application Data\ivsqtvkit, que je pensais avoir supprimé avec Hitjackthis. Je l'ai donc supprimé de nouveau. Est-ce normal ?

Re,

tu n'a jamais supprimé C:\Documents and Settings\Julien\Application Data\ivsqtvkit.exe, tu as supprimé une clé de registre qui faisait référence à ce fichier et lançait son exécution à chaque démarrage.

En général, Awola est un sous -répertoire du même et donc serait :

C:\Documents and Settings\Julien\Application Data\Awola.
@+
Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal ­quatre.

Effectivement, c'était la clé que j'avais supprimé, et non le fichier.
Merci Lyonnais92 pour ton aide.
@+ Spydy

Re,

je te propose quand même de nettoyer ton ordi pour vérifier que tout est propre.

Lis bien et exécute cette manip dans l’ordre.

#Télécharge et installe ces logiciels (si tu ne les as pas) pour les 3 premiers
mets les à jour, comme indiqué dans les démos ou tutos.

Ne les utilise pas tout de suite.


Antispywares et autres :

*Ad-Aware (gratuit)
Téléchargement :
http://telecharger.01net.com/windows/Internet/internet_utlit­aire/fiches/11643.html
Le patch en Français pour Ad-Aware (gratuit) :
http://telecharger.01net.com/windows/Internet/internet_utlit­aire/fiches/25543.html
Tuto :
http://perso.orange.fr/rginformatique/section%20virus/adawre­vid.asf

*Spybot (gratuit) :
Téléchargement :
http://telecharger.01net.com/windows/Internet/internet_utlit­aire/fiches/26157.html
voir demo d utilisation (merci Balltrap)
http://perso.orange.fr/rginformatique/section%20virus/demo%2­0spybot.htm

* AVG AS

AVG anti spyware
http://www.01net.com/telecharger/windows/Securite/anti-spywa­re/fiches/31851.html
Mets le a jour avant de lancer le scan.
Tuto :
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-po­ur-votre-securite.html


Nettoyeurs (de fichiers inutiles) et autres :

*Ccleaner (gratuit)
Téléchargement :
http://www.01net.com/...
Tuto :
http://www.vulgarisation-informatique.com/nettoyer-windows-c­cleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
========================================
-> Relance HijackThis cliques sur « scanner seulement » ou (« do a scan only »),
coche les cases devant ces lignes :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

et ensuite ferme toutes les fenêtres actives autres que HijackThis!, navigateur inclus,
puis clique "Fix checked"( ou « fixer objet »). Ferme HijackThis!
========================================

->Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec
puis tape « entrée ».
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
========================================
->Lance CCleaner.

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]



========================================
->Lance AVG pour un scan complet "Analyse" ->"Paramètres"

Sous la question "Comment réagir ?" :

-> clique sur "Actions recommandées" et choisis "Quarantaines"
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

Si un fichier est infecté en fin d'analyse

->Clique sur "Appliquer toutes les actions "

->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous".

->Enregistre ce fichier texte sur ton bureau et [copie/colle le rapport en forum]
========================================
->Passe Ad-Aware et supprime tout ce qu’il trouve + supprime les quarantaines…
========================================
->Passe Spybot et corrige tout ce qu’il trouve + vaccine + supprime les quarantaines…
========================================
->Relance CCleaner.
Suppression des incohérences du registre

• Clique sur l'icône [Erreurs] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur [Corriger les erreurs].

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.
========================================
->Vide ta Corbeille.
========================================
->Redémarre en mode normal,


- > Ouvre ce lien pour scanner ton PC avec un BitDefender en ligne (uniquement sous Internet Explorer) :

http://www.bitdefender.com/scan8/ie.html

Utilisation :
Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer.
Ensuite, cliquer sur "Cliquez ici pour scanner".
Patienter jusqu'à la fin du scan qui peut durer assez longtemps...

Copier/coller le rapport entier sur le forum.

Tutoriel en images ici : http://pageperso.aol.fr/rginformatique/mapage/defender.htm (merci à Balltrap34 pour cette réalisation)
[Recoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

Relance Hijackthis et copie/colle un nouveau rapport sur le forum.

Et dis moi ou en sont tes problèmes s’il t’en reste. @+
Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal ­quatre.

Bonjour Lyonnais92,

j'ai effectué les premières étapes que tu m'as décris, mais je n'arrive pas à lancer windows en mode sans échec. En tapotant sur F5 au démarrage, j'ai bien un menu qui apparait, la surbrillance est sur "Démarrer windows normalement" et il m'est impossible de changer le choix avec les flèches du clavier, et meme en appuyant sur "Entrée" ca ne valide pas le choix en surbrillance, et je suis obligé de faire un reset pour lancer windows.

Bonjour

essaye ça :

Ouvre ce lien : http://www.downloads.subratam.org/VX2Finder.exe

Lance le programme et clique sur le bouton "Restore Policy", puis redémarre l'ordi.

Ressaye de démarrer en mode sans échec.

Tiens moi au courant. @+
Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal ­quatre.

Re,

Cela n'a pas résolu le problème.
En appuyant sur F5, j'ai eu un menu différent ne laissant qu'un seul choix possible: "Démarrer Windows XP Professionnel"(que je n'ai pas essayé de lancé)
En réessayant F5, j'ai eu le meme menu que tout à l'heure sans pouvoir aller sur le mode sans échec.
Avec F8 j'arrive sur le boot menu, et là je peux choisir Flopy, IDE-0, IDE-1, ou CD-ROM. Mais pas moyen d'accéder au mode sans échec.

Re,

remets un log Hijackthis @+
Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal ­quatre.

Voici le nouveau log Hitjackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:07:33, on 12/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\SRS Labs\Audio Sandbox\SRSSSC.exe
C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe
C:\Program Files\AOL 9.0\aoltray.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\PokerStars\PokerStars.exe
C:\Program Files\PokerStars\PokerStarsCommunicate.exe
C:\Documents and Settings\Julien\Bureau\Protection-Nettoyage\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.anpe.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SRS Audio Sandbox] "C:\Program Files\SRS Labs\Audio Sandbox\SRSSSC.exe" /hideme
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Documents and Settings\Julien\Bureau\Titan Poker\casino.exe (file missing)
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Documents and Settings\Julien\Bureau\Titan Poker\casino.exe (file missing)
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Documents and Settings\Julien\Mes documents\Mes eBooks\CDPoker\casino.exe
O9 - Extra 'Tools' menuitem: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Documents and Settings\Julien\Mes documents\Mes eBooks\CDPoker\casino.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Bodog Poker - {F47C1DB5-ED21-4dc1-853E-D1495792D4C5} - C:\Program Files\Bodog Poker\BPGame.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
End of file - 7123 bytes

Bonjour,

- Télécharge DiagHelp.zip sur ton bureau - Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
- Un nouveau dossier chercher va être créé DiagHelp
- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.

ATTENTION : pendant l'analyse, après le rapport catchme, il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran !

- A la fin de l'analyse, il peut-être (pas obligatoire) demandé de redemanderl'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note.. Ce dernier se trouve sur C:\resultat.txt
- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
-- A nouveau menu Edition / copier
-- Dans un nouveau message ici, faire un clic droit / coller @+
Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal ­quatre.

Bonjour,

Voici le résultat de l'analyse avec DiagHelp:

DiagHelp version v1.2 - http://www.malekal.com
excute le 13/10/2007 à 10:35:55,32


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\LOGONUI.EXE-0AF22957.pf -->27/02/9822 18:16:02
C:\WINDOWS\prefetch\WAOL.EXE-3A88A0A8.pf -->27/02/9822 18:14:43
C:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf -->27/02/9822 18:11:36
C:\WINDOWS\prefetch\CNMSM58.EXE-33E51731.pf -->27/02/9822 17:32:39
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->13/10/2007 10:35:47
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->13/10/2007 10:35:15
C:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->13/10/2007 10:34:34
C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->13/10/2007 10:33:18
C:\WINDOWS\prefetch\FIREFOX.EXE-28641590.pf -->13/10/2007 10:29:07
C:\WINDOWS\prefetch\USNSVC.EXE-373E4DBC.pf -->13/10/2007 10:28:07

C:\WINDOWS\System32\drivers\fidbox.dat -->13/10/2007 10:32:43
C:\WINDOWS\System32\drivers\fidbox.idx -->12/10/2007 20:01:45
C:\WINDOWS\System32\drivers\klin.dat -->10/10/2007 10:07:57
C:\WINDOWS\System32\drivers\klick.dat -->10/10/2007 10:07:57
C:\WINDOWS\System32\drivers\aswmon.sys -->06/09/2007 12:05:25
C:\WINDOWS\System32\drivers\aswmon2.sys -->06/09/2007 12:05:10
C:\WINDOWS\System32\drivers\aswRdr.sys -->06/09/2007 12:03:02

C:\WINDOWS\System32\vsconfig.xml -->13/10/2007 10:26:11
C:\WINDOWS\System32\tmp.txt -->10/10/2007 11:02:54
C:\WINDOWS\System32\tmp.reg -->10/10/2007 11:02:54
C:\WINDOWS\System32\zllictbl.dat -->10/10/2007 10:11:26
C:\WINDOWS\System32\wpa.dbl -->09/10/2007 10:32:30
C:\WINDOWS\System32\WS2Fix.exe -->04/10/2007 00:36:46
C:\WINDOWS\System32\PerfStringBackup.INI -->30/09/2007 11:33:23
C:\WINDOWS\System32\perfh00C.dat -->30/09/2007 11:33:23
C:\WINDOWS\System32\perfh009.dat -->30/09/2007 11:33:23
C:\WINDOWS\System32\perfc00C.dat -->30/09/2007 11:33:23
C:\WINDOWS\System32\perfc009.dat -->30/09/2007 11:33:23
C:\WINDOWS\System32\CONFIG.NT -->29/09/2007 10:29:29
C:\WINDOWS\System32\AUTOEXEC.NT -->28/09/2007 13:08:16
C:\WINDOWS\System32\MRT.exe -->28/09/2007 07:19:39
C:\WINDOWS\System32\aswBoot.exe -->06/09/2007 12:09:49
C:\WINDOWS\System32\AVASTSS.scr -->06/09/2007 12:00:07
C:\WINDOWS\System32\VCCLSID.exe -->06/09/2007 00:22:24
C:\WINDOWS\System32\TZLog.log -->29/08/2007 19:07:37
C:\WINDOWS\System32\wininet.dll -->22/08/2007 15:13:08
C:\WINDOWS\System32\urlmon.dll -->22/08/2007 15:13:08
C:\WINDOWS\System32\shlwapi.dll -->22/08/2007 15:13:08
C:\WINDOWS\System32\shdocvw.dll -->22/08/2007 15:13:08
C:\WINDOWS\System32\pngfilt.dll -->22/08/2007 15:13:07
C:\WINDOWS\System32\mstime.dll -->22/08/2007 15:13:07
C:\WINDOWS\System32\msrating.dll -->22/08/2007 15:13:07

C:\WINDOWS\WindowsUpdate.log -->13/10/2007 10:28:37
C:\WINDOWS\0.log -->13/10/2007 10:25:59
C:\WINDOWS\wiadebug.log -->13/10/2007 10:25:38
C:\WINDOWS\wiaservc.log -->13/10/2007 10:25:35
C:\WINDOWS\bootstat.dat -->13/10/2007 10:24:39
C:\WINDOWS\SchedLgU.Txt -->12/10/2007 20:01:25
C:\WINDOWS\ModemLog_OLITEC Speed'Com 2000 V2 PnP #2.txt -->12/10/2007 19:37:26
C:\WINDOWS\NeroDigital.ini -->12/10/2007 16:46:10
C:\WINDOWS\tsoc.log -->10/10/2007 14:04:05
C:\WINDOWS\tabletoc.log -->10/10/2007 14:04:05
C:\WINDOWS\ocmsn.log -->10/10/2007 14:04:05
C:\WINDOWS\ntdtcsetup.log -->10/10/2007 14:04:05
C:\WINDOWS\KB933729.log -->10/10/2007 14:04:05
C:\WINDOWS\imsins.log -->10/10/2007 14:04:05
C:\WINDOWS\iis6.log -->10/10/2007 14:04:05


MD5 des fichiers sensibles
tcpip.sys 1dbf125862891817f374f407626967f4
ndis.sys 558635d3af1c7546d26067d5d9b6959e
null.sys 73c1e1f395918bc2c6dd67af7591a3ad
svchost.exe 2979b03d5382a602623c0535b16ab9c0


Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est A418-9E23

Répertoire de C:\WINDOWS\system32

19/08/2004 17:09 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 28 804 497 408 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est A418-9E23

Répertoire de C:\WINDOWS\Downloaded Program Files

19/05/2007 15:15 <REP> .
19/05/2007 15:15 <REP> ..
24/01/2006 22:46 65 desktop.ini
14/03/2007 04:02 1 055 jinstall-6u1.inf
20/01/2000 16:25 1 162 Microsoft XML Parser for Java.osd
3 fichier(s) 2 282 octets

Total des fichiers listés :
3 fichier(s) 2 282 octets
2 Rép(s) 28 804 489 216 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\­system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\AOL 9.0a\\waol.exe"="C:\\Program Files\\AOL 9.0a\\waol.exe:*:Enabled:AOL 9.0a"
"C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe"="C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe:*:Enabled:AOL"
"C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLAcsd.exe"="C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLAcsd.exe:*:Enabled:AOL"
"C:\\Program Files\\AOL 9.0\\waol.exe"="C:\\Program Files\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:µTorrent"
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"="C:\\Progra­m Files\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer&q­uot;
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Documents and Settings\\Fabienne\\Bureau\\utorrent.exe"="C:\\Doc­uments and Settings\\Fabienne\\Bureau\\utorrent.exe:*:Enabled:µTorrent&­quot;
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProces­s.exe"="C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\Sc­anningProcess.exe:*:Enabled:Kaspersky AV Scanner"

"%windir%\\system32\\sessmgr.exe"="%windir%\\­system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\AOL 9.0a\\waol.exe"="C:\\Program Files\\AOL 9.0a\\waol.exe:*:Enabled:AOL 9.0a"
"C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe"="C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe:*:Enabled:AOL"
"C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLAcsd.exe"="C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLAcsd.exe:*:Enabled:AOL"
"C:\\Program Files\\AOL 9.0\\waol.exe"="C:\\Program Files\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré­-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Dém­on de cache des catégories de composant"



exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000001
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001



Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1160 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-13 10:37:03
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0


KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
152 - guard.exe
292 - MDM.EXE
568 - csrss.exe
592 - winlogon.exe
636 - services.exe
648 - lsass.exe
792 - svchost.exe
852 - svchost.exe
952 - svchost.exe
1112 - svchost.exe
1132 - vsmon.exe
1312 - explorer.exe
1432 - cmd.exe
1552 - aawservice.exe
1628 - ashServ.exe
1832 - spoolsv.exe
1904 - ashMaiSv.exe
1944 - ashWebSv.exe
2028 - AOLacsd.exe
2336 - alg.exe
2716 - ashDisp.exe
2724 - rundll32.exe
2752 - realplay.exe
2788 - zlclient.exe
2860 - avgas.exe
2916 - ctfmon.exe
2992 - msnmsgr.exe
3020 - SRSSSC.exe
3060 - RegistryBooster
3204 - aoltray.exe
3504 - usnsvc.exe
3808 - firefox.exe

Total number of processes = 33
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntoskrnl.exe
806EC000 - \WINDOWS\system32\hal.dll
F8A36000 - \WINDOWS\system32\KDCOM.DLL
F8946000 - \WINDOWS\system32\BOOTVID.dll
F84E6000 - ACPI.sys
F8A38000 - \WINDOWS\System32\DRIVERS\WMILIB.SYS
F84D5000 - pci.sys
F8536000 - isapnp.sys
F8AFE000 - pciide.sys
F87B6000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
F8546000 - MountMgr.sys
F84B6000 - ftdisk.sys
F8A3A000 - dmload.sys
F8490000 - dmio.sys
F87BE000 - PartMgr.sys
F8556000 - VolSnap.sys
F8478000 - atapi.sys
F8566000 - disk.sys
F8576000 - \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
F8458000 - fltmgr.sys
F8446000 - sr.sys
F8586000 - PxHelp20.sys
F842F000 - KSecDD.sys
F83A2000 - Ntfs.sys
F8375000 - NDIS.sys
F8359000 - kl1.sys
F87C6000 - \WINDOWS\system32\DRIVERS\TDI.SYS
F8345000 - srescan.sys
F8596000 - sisa