Problème de redirection (pubs) avec IE
Crazy_Chip
Messages postés
4
Statut
Membre
-
sherred Messages postés 8605 Statut Membre -
sherred Messages postés 8605 Statut Membre -
Bonjour,
Eh oui, je suis un autre cas infecté par un salopard qui redirige mes selection d'hyperliens sur des site de publicités. De plus, mon PC gèle de temps en temps (requiert un hard-reset) et prend un temps fou à s'éteindre (peut-etre le même problème... peut-etre un autre ???). Rien n'est enregistré dans l'observateur d'événements de windows).
Après avoir a peu près tout lu, je ne vois rien de méchant dans le log HJT (voir à la fin du post).
J'ai lancé un moniteur de ports TCP (CPORTS). Je vois que les liens "de pubs" sont ouverts par Internet Explorer et non par un autre process. De temps en temps, j'attrape un process inconnu qui ouvre un port vers une adresse dans le domaine CERNEL.NET (67.210.14.28).
Un moment donné j'ai aussi vu passer (en vitesse) l'ouverture d'un port HTTP (80) et FTP (21) vers des adresses AKAMAI.
J'ai vidé le cache internet et les cookies. J'ai passé Spybot S&D et AdAware sans résultats. Virusscan n'a rien trouvé (pas surprenant... il ne ramasse pas grand chose celui-la !)
J'ai exécuté NAVILOG1 qui n'a rien trouvé (mais dans le log, on voit que Catchme n'a pas été exécuté)
------------------------------------------------------------------------------
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Scan Catchme non réalisé.
Droits limités sur la session actuelle.
----------------------------------------------------------------------------
Bref, je suis rendu un peu perdu. Évidemment, il n'est pas question de reformater mon PC.
P.S. Je suis ingénieur et je fais de l'informatique depuis plus de 30 ans !!! Je me suis déjà débarassé de virus pas mal méchants... mais ce coup-ci, il m'en fait baver.
Quelqu'un a une suggestion ?
Voici le log HJT :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:53:30, on 2009-01-07
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINNT\system32\CTSvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Intel\Intel NetStructure VPN Client\icsrv.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Program Files\UPHClean\uphclean.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\desk95.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINNT\system32\sstray.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\Program Files\ATI Multimedia\main\ATISched.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\PrintKey2000\Printkey2000.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [HydarVisionDesktopManager] desk95.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [ATI Scheduler] C:\Program Files\ATI Multimedia\main\ATISched.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Printkey2000.lnk = C:\Program Files\PrintKey2000\Printkey2000.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download All Files by HiDownload - C:\Program Files\HiDownload\HDGetAll.htm
O8 - Extra context menu item: Download by HiDownload - C:\Program Files\HiDownload\HDGet.htm
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\tv\EXPLBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABC4A84C-4F5E-4A2C-BFB5-3FC32C3BFAE0}: NameServer = 24.200.241.37,24.201.245.77,24.200.243.189
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTSvcCDA.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) NetStructure(TM) VPN Client (ICService) - Unknown owner - C:\Program Files\Intel\Intel NetStructure VPN Client\icsrv.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: RT Service 3S KM (RTService) - 3S-Smart Software Solutions GmbH - C:\Program Files\3S Software\CoDeSys SP RTE\RTService.exe
Eh oui, je suis un autre cas infecté par un salopard qui redirige mes selection d'hyperliens sur des site de publicités. De plus, mon PC gèle de temps en temps (requiert un hard-reset) et prend un temps fou à s'éteindre (peut-etre le même problème... peut-etre un autre ???). Rien n'est enregistré dans l'observateur d'événements de windows).
Après avoir a peu près tout lu, je ne vois rien de méchant dans le log HJT (voir à la fin du post).
J'ai lancé un moniteur de ports TCP (CPORTS). Je vois que les liens "de pubs" sont ouverts par Internet Explorer et non par un autre process. De temps en temps, j'attrape un process inconnu qui ouvre un port vers une adresse dans le domaine CERNEL.NET (67.210.14.28).
Un moment donné j'ai aussi vu passer (en vitesse) l'ouverture d'un port HTTP (80) et FTP (21) vers des adresses AKAMAI.
J'ai vidé le cache internet et les cookies. J'ai passé Spybot S&D et AdAware sans résultats. Virusscan n'a rien trouvé (pas surprenant... il ne ramasse pas grand chose celui-la !)
J'ai exécuté NAVILOG1 qui n'a rien trouvé (mais dans le log, on voit que Catchme n'a pas été exécuté)
------------------------------------------------------------------------------
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Scan Catchme non réalisé.
Droits limités sur la session actuelle.
----------------------------------------------------------------------------
Bref, je suis rendu un peu perdu. Évidemment, il n'est pas question de reformater mon PC.
P.S. Je suis ingénieur et je fais de l'informatique depuis plus de 30 ans !!! Je me suis déjà débarassé de virus pas mal méchants... mais ce coup-ci, il m'en fait baver.
Quelqu'un a une suggestion ?
Voici le log HJT :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:53:30, on 2009-01-07
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINNT\system32\CTSvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Intel\Intel NetStructure VPN Client\icsrv.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Program Files\UPHClean\uphclean.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\desk95.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINNT\system32\sstray.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\Program Files\ATI Multimedia\main\ATISched.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\PrintKey2000\Printkey2000.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [HydarVisionDesktopManager] desk95.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [ATI Scheduler] C:\Program Files\ATI Multimedia\main\ATISched.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Printkey2000.lnk = C:\Program Files\PrintKey2000\Printkey2000.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download All Files by HiDownload - C:\Program Files\HiDownload\HDGetAll.htm
O8 - Extra context menu item: Download by HiDownload - C:\Program Files\HiDownload\HDGet.htm
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\tv\EXPLBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABC4A84C-4F5E-4A2C-BFB5-3FC32C3BFAE0}: NameServer = 24.200.241.37,24.201.245.77,24.200.243.189
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTSvcCDA.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) NetStructure(TM) VPN Client (ICService) - Unknown owner - C:\Program Files\Intel\Intel NetStructure VPN Client\icsrv.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: RT Service 3S KM (RTService) - 3S-Smart Software Solutions GmbH - C:\Program Files\3S Software\CoDeSys SP RTE\RTService.exe
A voir également:
- Problème de redirection (pubs) avec IE
- Bloquer les pubs youtube - Accueil - Streaming
- Ie tab - Télécharger - Outils pour navigateurs
- Supprimer les pubs - Guide
- Avertissement de redirection - Forum Virus
- Ie 11 - Télécharger - Navigateurs
9 réponses
Bonjour,
* Il me semble que sur 2000, Malwarebytes fonctionne :
telecharges Mbam : http://www.malwarebytes.org/mbam/program/mbam-setup.exe
---> à la fin du telechargement, il se met à jour automatiquement
* Fermes ensuite tous les programmes en cours et lances Mbam.
---> Cliques sur Recherche et executes une analyse Rapide
de ton pc.
* A la fin du scan, cliques sur Afficher les resultats, puis sur supprimer la selection.
* Un rapport est généré, postes le.
* Il me semble que sur 2000, Malwarebytes fonctionne :
telecharges Mbam : http://www.malwarebytes.org/mbam/program/mbam-setup.exe
---> à la fin du telechargement, il se met à jour automatiquement
* Fermes ensuite tous les programmes en cours et lances Mbam.
---> Cliques sur Recherche et executes une analyse Rapide
de ton pc.
* A la fin du scan, cliques sur Afficher les resultats, puis sur supprimer la selection.
* Un rapport est généré, postes le.
Merci Feelgood1... Malwarebytes était probablement l'un des seuls logiciels que je n'avais pas encore essayé ( dans ma frénésie, je l'avais downloadé mais jamais exécuté !!!)
Après la recherche, il avait trouvé 4 fichiers infectés et 4 clefs de registres
Après le cleanup et un reboot pour se débarasser de Trojan.Agent ( C:\WINNT\system32\msqpdxvxtliqhu.dll ), IE semble fonctionner correctement.... (en réalité, seul l'avenir le dira )
Je trouve ça quand même louche que des outils reconnus comme Spybot S&D, AdAware et Virusscan n'aient jamais vu ces salopperies.
Je vais laisser ce thread ouvert le temps de bien m'assurer que mon PC n'a pas de rechutte...
Merci encore
Pour info, voici le log de Malwarebytes :
Malwarebytes' Anti-Malware 1.32
Version de la base de données: 1632
Windows 5.0.2195 Service Pack 4
2009-01-08 20:00:39
mbam-log-2009-01-08 (20-00-39).txt
Type de recherche: Examen rapide
Eléments examinés: 63635
Temps écoulé: 7 minute(s), 2 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\extravideo (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINNT\system32\msqpdxvxtliqhu.dll (Trojan.Agent) -> Delete on reboot.
C:\WINNT\system32\drivers\msqpdxfjwmexuu.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\drivers\msqpdxserv.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\USR263092-OEM-2000-XP-x86.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Après la recherche, il avait trouvé 4 fichiers infectés et 4 clefs de registres
Après le cleanup et un reboot pour se débarasser de Trojan.Agent ( C:\WINNT\system32\msqpdxvxtliqhu.dll ), IE semble fonctionner correctement.... (en réalité, seul l'avenir le dira )
Je trouve ça quand même louche que des outils reconnus comme Spybot S&D, AdAware et Virusscan n'aient jamais vu ces salopperies.
Je vais laisser ce thread ouvert le temps de bien m'assurer que mon PC n'a pas de rechutte...
Merci encore
Pour info, voici le log de Malwarebytes :
Malwarebytes' Anti-Malware 1.32
Version de la base de données: 1632
Windows 5.0.2195 Service Pack 4
2009-01-08 20:00:39
mbam-log-2009-01-08 (20-00-39).txt
Type de recherche: Examen rapide
Eléments examinés: 63635
Temps écoulé: 7 minute(s), 2 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\extravideo (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINNT\system32\msqpdxvxtliqhu.dll (Trojan.Agent) -> Delete on reboot.
C:\WINNT\system32\drivers\msqpdxfjwmexuu.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\drivers\msqpdxserv.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\USR263092-OEM-2000-XP-x86.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour Crazy,
* Vides la quarantaine de Malwarebytes.
---> ouvres Mbam, cliques ---> Quarantaine et supprimes tout!
* Telecharges SDFix sur ton bureau :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
* Double-cliques sur SDFix.exe et choisis install pour l'extraire dans
un dossier dedié...
* Redemarres ton pc en mode sans echec :
---> au demarrage du pc, tu tapotes sur la touche F8 ou F5 de ton
clavier----> un ecran noir apparait avec diverses options, choisis Mode sans echec et valides
par la touche Entrée de ton clavier.
* Une fois en Mse, double clique sur le fichier obtenu Runthisbat :
---> Appuies sur la touche Y pour lancer le nettoyage
---> si il te demande d'appuyer sur une touche pour redemarrer, fais le
* Au redemarrage le systeme est plus long car l'outil continue de travailler, patientes
jusqu'à ce qu'il affiche Finished...
---> appuies sur 1 touche pour obtenir le rapport et postes le.
* Vides la quarantaine de Malwarebytes.
---> ouvres Mbam, cliques ---> Quarantaine et supprimes tout!
* Telecharges SDFix sur ton bureau :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
* Double-cliques sur SDFix.exe et choisis install pour l'extraire dans
un dossier dedié...
* Redemarres ton pc en mode sans echec :
---> au demarrage du pc, tu tapotes sur la touche F8 ou F5 de ton
clavier----> un ecran noir apparait avec diverses options, choisis Mode sans echec et valides
par la touche Entrée de ton clavier.
* Une fois en Mse, double clique sur le fichier obtenu Runthisbat :
---> Appuies sur la touche Y pour lancer le nettoyage
---> si il te demande d'appuyer sur une touche pour redemarrer, fais le
* Au redemarrage le systeme est plus long car l'outil continue de travailler, patientes
jusqu'à ce qu'il affiche Finished...
---> appuies sur 1 touche pour obtenir le rapport et postes le.
Euhhhhh
Y'a peut-etre un petit problème ici !!
J'ai téléchargé SDFIX et en décompressant l'archive, Virusscan a intercepté DEUX trojans SDFIX.EXE...
J'ai beau croire que Virusscan est loin (très loin même) d'être parfait... mais ça c'est pas mal suspect !
J'aimerais avoir une explication (de Feelgood1... et de McAfee) sur ce comportement avant d'aller plus loin.
Merci
Y'a peut-etre un petit problème ici !!
J'ai téléchargé SDFIX et en décompressant l'archive, Virusscan a intercepté DEUX trojans SDFIX.EXE...
J'ai beau croire que Virusscan est loin (très loin même) d'être parfait... mais ça c'est pas mal suspect !
J'aimerais avoir une explication (de Feelgood1... et de McAfee) sur ce comportement avant d'aller plus loin.
Merci
SDFix , outil développé par Andy Manchesta, permet de supprimer diverses infections et rootkits.
Citation:
SDFix est détecté par certains antivirus : il ne s'agit pas d'un virus (faux positif),
mais d'un utilitaire destiné à mettre fin à des processus.
Dans le cas d'une alerte de la part de votre antivirus, veuillez désactiver votre antivirus pendant la procédure.
Citation:
SDFix est détecté par certains antivirus : il ne s'agit pas d'un virus (faux positif),
mais d'un utilitaire destiné à mettre fin à des processus.
Dans le cas d'une alerte de la part de votre antivirus, veuillez désactiver votre antivirus pendant la procédure.
Bonjour,
* Ne t'inquiètes surtout pas, la plupart des Fix utilisés lors des desinfections, ont ce
que l'on appelle Un faux positif qui a tendance a affoler les antivirus...
---> C'est pour cela que dans la plupart des cas d'utilisations de ces outils ( Smitfraudfix, Navilog,
et autres fix), on te demandera toujours de desactiver ton antivirus avant utilisation...
* Ca ne devrait pas le faire lors de l'utilisation de SDFix puisque tu dois le
passer en Mode sans echec.
---> Lorsque tu lances SDFix en MSE, il y aura
un redemarrage pour finaliser la desinfection, lors du redemarrage ----> tapotes à nouveau
sur la touche F8 afin de finir la desinfection en MSE.
---> Quand il affichera Finished à l'ecran, sauvegardes le rapport
et reviens en mode normal pour le poster.
* Ne t'inquiètes surtout pas, la plupart des Fix utilisés lors des desinfections, ont ce
que l'on appelle Un faux positif qui a tendance a affoler les antivirus...
---> C'est pour cela que dans la plupart des cas d'utilisations de ces outils ( Smitfraudfix, Navilog,
et autres fix), on te demandera toujours de desactiver ton antivirus avant utilisation...
* Ca ne devrait pas le faire lors de l'utilisation de SDFix puisque tu dois le
passer en Mode sans echec.
---> Lorsque tu lances SDFix en MSE, il y aura
un redemarrage pour finaliser la desinfection, lors du redemarrage ----> tapotes à nouveau
sur la touche F8 afin de finir la desinfection en MSE.
---> Quand il affichera Finished à l'ecran, sauvegardes le rapport
et reviens en mode normal pour le poster.
Bon... faut bien faire confiance à quelqu'un...
OK, voici le rapport de SDFIX :
[b]SDFix: Version 1.240 [/b]
Run by This_is_my_name on mar. 2009-01-13 at 21:01
Microsoft Windows 2000 [Version 5.00.2195]
Running From: C:\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
[b]Checking Files [/b]:
No Trojan Files Found
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-13 21:27:27
Windows 5.0.2195 Service Pack 4 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\msqpdxfjwmexuu.sys"
"group"="file system"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys\modules]
"msqpdxserv"="\\?\globalroot\systemroot\system32\drivers\msqpdxfjwmexuu.sys"
"msqpdxl"="\\?\globalroot\systemroot\system32\msqpdxvxtliqhu.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msqpdxserv.sys]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\msqpdxfjwmexuu.sys"
"group"="file system"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msqpdxserv.sys\modules]
"msqpdxserv"="\\?\globalroot\systemroot\system32\drivers\msqpdxfjwmexuu.sys"
"msqpdxl"="\\?\globalroot\systemroot\system32\msqpdxvxtliqhu.dll"
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b]Remaining Services [/b]:
[b]Remaining Files [/b]:
[b]Files with Hidden Attributes [/b]:
Fri 13 May 2005 217,073 A.SHR --- "C:\WINNT\meta4.exe"
Mon 24 Oct 2005 66,560 A.SHR --- "C:\WINNT\MOTA113.exe"
Thu 13 Oct 2005 422,400 A.SHR --- "C:\WINNT\x2.64.exe"
Sun 3 Jun 2007 969,894 A.SH. --- "C:\!myname Virus quarantaine\Another\qtstv.bak2"
Tue 29 May 2007 263,220 A.SH. --- "C:\!myname Virus quarantaine\Another\vtstq.dll"
Wed 22 Oct 2008 962,896 A.SHR --- "C:\Program Files\Misc. Support Library (Spybot - Search & Destroy)\Tools.dll"
Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Program Files\SDHelper (Spybot - Search & Destroy)\SDHelper.dll"
Wed 22 Oct 2008 949,072 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\advcheck.dll"
Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll"
Thu 14 Aug 2008 1,429,840 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Wed 30 Jul 2008 4,891,984 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Wed 22 Oct 2008 962,896 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\Tools.dll"
Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Program Files\TeaTimer (Spybot - Search & Destroy)\TeaTimer.exe"
Fri 7 Oct 2005 308,224 A.SHR --- "C:\WINNT\system32\avisynth.dll"
Thu 14 Jul 2005 27,648 A.SHR --- "C:\WINNT\system32\AVSredirect.dll"
Sun 26 Jun 2005 616,448 A.SHR --- "C:\WINNT\system32\cygwin1.dll"
Tue 21 Jun 2005 45,568 A.SHR --- "C:\WINNT\system32\cygz.dll"
Sun 25 Jan 2004 70,656 A.SHR --- "C:\WINNT\system32\i420vfw.dll"
Thu 27 Apr 2006 2,945,024 A.SHR --- "C:\WINNT\system32\Smab.dll"
Mon 28 Feb 2005 240,128 A.SHR --- "C:\WINNT\system32\x.264.exe"
Sun 25 Jan 2004 70,656 A.SHR --- "C:\WINNT\system32\yv12vfw.dll"
Thu 24 Aug 1995 129,078 A..H. --- "C:\ZZ_Old Drive F\TEMP old drive C\logo.sys"
Thu 21 Sep 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sun 21 Jan 2001 4,348 A.SH. --- "C:\ZZ_Old Drive C\WINDOWS\All users\DRM\DRMv1.bak"
Sat 24 Aug 1996 32,256 A..H. --- "C:\ZZ_Old Drive F\TEMP old drive C\Program Files\Accessoires\mspcx32.dll"
Sat 24 Aug 1996 22,016 A..H. --- "C:\ZZ_Old Drive F\TEMP old drive C\Program Files\The Microsoft Network\CCDIALER.EXE"
Sat 24 Aug 1996 13,312 A..H. --- "C:\ZZ_Old Drive F\TEMP old drive C\Program Files\The Microsoft Network\CCEI.DLL"
Sat 24 Aug 1996 14,336 A..H. --- "C:\ZZ_Old Drive F\TEMP old drive C\Program Files\The Microsoft Network\CCPSH.DLL"
Sat 24 Aug 1996 68,096 A..H. --- "C:\ZZ_Old Drive F\TEMP old drive C\Program Files\The Microsoft Network\ENGCT.EXE"
Sat 24 Aug 1996 129,536 A..H. --- "C:\ZZ_Old Drive F\TEMP old drive C\Program Files\The Microsoft Network\GUIDE.EXE"
Sat 24 Aug 1996 149,504 A..H. --- "C:\ZZ_Old Drive F\TEMP old drive C\Program Files\The Microsoft Network\MOSCOMP.DLL"
Sat 24 Aug 1996 69,632 A..H. --- "C:\ZZ_Old Drive F\TEMP old drive C\Program Files\The Microsoft Network\MOSCP.EXE"
Sat 24 Aug 1996 88,064 A..H. --- "C:\ZZ_Old Drive F\TEMP old drive C\Program Files\The Microsoft Network\MPCCL.DLL"
Fri 11 Aug 2006 19,456 ...H. --- "C:\Documents and Settings\my_name\Application Data\Microsoft\Word\~WRL1363.tmp"
Fri 11 Aug 2006 20,480 ...H. --- "C:\Documents and Settings\my_name\Application Data\Microsoft\Word\~WRL1396.tmp"
Tue 30 Nov 2004 2,374,656 ...H. --- "C:\Documents and Settings\my_name\Application Data\Microsoft\Word\~WRL2736.tmp"
Tue 12 Jun 2001 95,232 ...H. --- "C:\Documents and Settings\my_name\Mes documents\pr\Booklets\~WRL0967.tmp"
Tue 12 Jun 2001 308,224 ...H. --- "C:\Documents and Settings\\Mes documents\pr\Booklets\~WRL1872.tmp"
Tue 12 Jun 2001 88,576 ...H. --- "C:\Documents and Settings\my_name\Mes documents\pr\Booklets\~WRL1873.tmp"
Sat 24 Aug 1996 20,480 A..H. --- "C:\ZZ_Old Drive F\TEMP old drive C\Program Files\Accessoires\HyperTerminal\hticons.dll"
Sat 24 Aug 1996 331,776 A..H. --- "C:\ZZ_Old Drive F\TEMP old drive C\Program Files\Accessoires\HyperTerminal\hypertrm.dll"
Tue 1 Jan 1980 4,604 A.SHR --- "C:\ZZ_Old Drive F\TEMP old drive C\archives\develop systems\hc11 tools\motorola utilities\IBMBIO.COM"
Tue 1 Jan 1980 17,257 A.SHR --- "C:\ZZ_Old Drive F\TEMP old drive C\archives\develop systems\hc11 tools\motorola utilities\IBMDOS.COM"
[b]Finished![/b]
OK, voici le rapport de SDFIX :
[b]SDFix: Version 1.240 [/b]
Run by This_is_my_name on mar. 2009-01-13 at 21:01
Microsoft Windows 2000 [Version 5.00.2195]
Running From: C:\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
[b]Checking Files [/b]:
No Trojan Files Found
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-13 21:27:27
Windows 5.0.2195 Service Pack 4 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\msqpdxfjwmexuu.sys"
"group"="file system"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys\modules]
"msqpdxserv"="\\?\globalroot\systemroot\system32\drivers\msqpdxfjwmexuu.sys"
"msqpdxl"="\\?\globalroot\systemroot\system32\msqpdxvxtliqhu.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msqpdxserv.sys]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\msqpdxfjwmexuu.sys"
"group"="file system"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msqpdxserv.sys\modules]
"msqpdxserv"="\\?\globalroot\systemroot\system32\drivers\msqpdxfjwmexuu.sys"
"msqpdxl"="\\?\globalroot\systemroot\system32\msqpdxvxtliqhu.dll"
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b]Remaining Services [/b]:
[b]Remaining Files [/b]:
[b]Files with Hidden Attributes [/b]:
Fri 13 May 2005 217,073 A.SHR --- "C:\WINNT\meta4.exe"
Mon 24 Oct 2005 66,560 A.SHR --- "C:\WINNT\MOTA113.exe"
Thu 13 Oct 2005 422,400 A.SHR --- "C:\WINNT\x2.64.exe"
Sun 3 Jun 2007 969,894 A.SH. --- "C:\!myname Virus quarantaine\Another\qtstv.bak2"
Tue 29 May 2007 263,220 A.SH. --- "C:\!myname Virus quarantaine\Another\vtstq.dll"
Wed 22 Oct 2008 962,896 A.SHR --- "C:\Program Files\Misc. Support Library (Spybot - Search & Destroy)\Tools.dll"
Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Program Files\SDHelper (Spybot - Search & Destroy)\SDHelper.dll"
Wed 22 Oct 2008 949,072 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\advcheck.dll"
Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll"
Thu 14 Aug 2008 1,429,840 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Wed 30 Jul 2008 4,891,984 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Wed 22 Oct 2008 962,896 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\Tools.dll"
Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Program Files\TeaTimer (Spybot - Search & Destroy)\TeaTimer.exe"
Fri 7 Oct 2005 308,224 A.SHR --- "C:\WINNT\system32\avisynth.dll"
Thu 14 Jul 2005 27,648 A.SHR --- "C:\WINNT\system32\AVSredirect.dll"
Sun 26 Jun 2005 616,448 A.SHR --- "C:\WINNT\system32\cygwin1.dll"
Tue 21 Jun 2005 45,568 A.SHR --- "C:\WINNT\system32\cygz.dll"
Sun 25 Jan 2004 70,656 A.SHR --- "C:\WINNT\system32\i420vfw.dll"
Thu 27 Apr 2006 2,945,024 A.SHR --- "C:\WINNT\system32\Smab.dll"
Mon 28 Feb 2005 240,128 A.SHR --- "C:\WINNT\system32\x.264.exe"
Sun 25 Jan 2004 70,656 A.SHR --- "C:\WINNT\system32\yv12vfw.dll"
Thu 24 Aug 1995 129,078 A..H. --- "C:\ZZ_Old Drive F\TEMP old drive C\logo.sys"
Thu 21 Sep 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sun 21 Jan 2001 4,348 A.SH. --- "C:\ZZ_Old Drive C\WINDOWS\All users\DRM\DRMv1.bak"
Sat 24 Aug 1996 32,256 A..H. --- "C:\ZZ_Old Drive F\TEMP old drive C\Program Files\Accessoires\mspcx32.dll"
Sat 24 Aug 1996 22,016 A..H. --- "C:\ZZ_Old Drive F\TEMP old drive C\Program Files\The Microsoft Network\CCDIALER.EXE"
Sat 24 Aug 1996 13,312 A..H. --- "C:\ZZ_Old Drive F\TEMP old drive C\Program Files\The Microsoft Network\CCEI.DLL"
Sat 24 Aug 1996 14,336 A..H. --- "C:\ZZ_Old Drive F\TEMP old drive C\Program Files\The Microsoft Network\CCPSH.DLL"
Sat 24 Aug 1996 68,096 A..H. --- "C:\ZZ_Old Drive F\TEMP old drive C\Program Files\The Microsoft Network\ENGCT.EXE"
Sat 24 Aug 1996 129,536 A..H. --- "C:\ZZ_Old Drive F\TEMP old drive C\Program Files\The Microsoft Network\GUIDE.EXE"
Sat 24 Aug 1996 149,504 A..H. --- "C:\ZZ_Old Drive F\TEMP old drive C\Program Files\The Microsoft Network\MOSCOMP.DLL"
Sat 24 Aug 1996 69,632 A..H. --- "C:\ZZ_Old Drive F\TEMP old drive C\Program Files\The Microsoft Network\MOSCP.EXE"
Sat 24 Aug 1996 88,064 A..H. --- "C:\ZZ_Old Drive F\TEMP old drive C\Program Files\The Microsoft Network\MPCCL.DLL"
Fri 11 Aug 2006 19,456 ...H. --- "C:\Documents and Settings\my_name\Application Data\Microsoft\Word\~WRL1363.tmp"
Fri 11 Aug 2006 20,480 ...H. --- "C:\Documents and Settings\my_name\Application Data\Microsoft\Word\~WRL1396.tmp"
Tue 30 Nov 2004 2,374,656 ...H. --- "C:\Documents and Settings\my_name\Application Data\Microsoft\Word\~WRL2736.tmp"
Tue 12 Jun 2001 95,232 ...H. --- "C:\Documents and Settings\my_name\Mes documents\pr\Booklets\~WRL0967.tmp"
Tue 12 Jun 2001 308,224 ...H. --- "C:\Documents and Settings\\Mes documents\pr\Booklets\~WRL1872.tmp"
Tue 12 Jun 2001 88,576 ...H. --- "C:\Documents and Settings\my_name\Mes documents\pr\Booklets\~WRL1873.tmp"
Sat 24 Aug 1996 20,480 A..H. --- "C:\ZZ_Old Drive F\TEMP old drive C\Program Files\Accessoires\HyperTerminal\hticons.dll"
Sat 24 Aug 1996 331,776 A..H. --- "C:\ZZ_Old Drive F\TEMP old drive C\Program Files\Accessoires\HyperTerminal\hypertrm.dll"
Tue 1 Jan 1980 4,604 A.SHR --- "C:\ZZ_Old Drive F\TEMP old drive C\archives\develop systems\hc11 tools\motorola utilities\IBMBIO.COM"
Tue 1 Jan 1980 17,257 A.SHR --- "C:\ZZ_Old Drive F\TEMP old drive C\archives\develop systems\hc11 tools\motorola utilities\IBMDOS.COM"
[b]Finished![/b]
Télécharge combofix.exe
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
clique combofix.exe.
touche 1 (Yes) pour démarrer le scan.
une fois fini un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
Le rapport se trouve également ici : C:\Combofix.txt
Déconnecte toi d'internet ferme les fenêtres de tous les programmes en cours.et provisoirement
arrete les anti virus et autres protection pendand l'analyse
Pendant la durée de l'analyse ne te sert pas de ton pc
une fois l'analyse terminé ,remet toute tes protections antivirus et antispywares
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
clique combofix.exe.
touche 1 (Yes) pour démarrer le scan.
une fois fini un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
Le rapport se trouve également ici : C:\Combofix.txt
Déconnecte toi d'internet ferme les fenêtres de tous les programmes en cours.et provisoirement
arrete les anti virus et autres protection pendand l'analyse
Pendant la durée de l'analyse ne te sert pas de ton pc
une fois l'analyse terminé ,remet toute tes protections antivirus et antispywares
