Problème Google et sécurité.

Question

Bonjour,

depuis environ une semaine j'ai quelques soucis. Tout d'abord, à propos de Google, quand je clique sur un lien après une recherche, le lien s'affiche dans une nouvelle page, et le site ne s'affiche qu'au bout d'une dizaine de secondes. Parfois j'ai le site demandé, d'autre fois, je suis redirigée sur Google, ou encore, je tombe sur une pub. De plus, j'ai l'impression que la mise en page a légèrement changé (je n'ai jamais vraiment analysé comment c'était avant la semaine dernière, mais je la trouve bizarre). Les liens commerciaux sont bidouillards, et les descriptions des sites affichés dans la recherche sont parfois un peu louches aussi (ex: "class="f">6 posts - 5 authors - Last post: 4 days ago" ; je n'ai jamais eu ça auparavant).

Je soupçonne un petit malware, mais malheureusement, impossible de faire la mise à jour Avira ("impossible d'établir une connection internet" alors que je suis pourtant bel et bien connecté. Lorsque que je fais un scan, rien n'est trouvé. Même chose avec Ad-Aware qui ne détecte rien. Et quand à Spybot, impossible de le lancer (même chose après l'avoir réinstallé). Il se trouve pourtant bien dans les processus quand je vais dans le gestionnaire des tâches.

Merci d'avance de votre aide !

jlpjlp · Answer

slt,


Télécharge Rooter de l'équipe IDN sur ton bureau : 
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/Rooter.exe?attachauth=ANoY7cpzQksLcJt-e1z30LGu7t4JjUhh8amzWs_oSPSJpXbXp8ythGbW2WF8ysioh5NNlarrn7zMnYCRfsT5rCwNrfw5_CZYELApylTiY_MGu0G6uKzWpLEF2YXM3tF7nKZZAWj0JSAajXlZhd8dIyI3MrZ-lAIT5ZrAdcrct9_7bshwVpaZRPizuMTv9SDvmvY31BX4Vvvh2F2Brp1cy_K0jtTTfjttEA%3D%3D&attredirects=2 

! Déconnecte toi d'internet et ferme toutes applications en cours ! 


Exécute Rooter et laisse travailler l'outil . 

Une fois terminé, poste le rapport obtenu pour analyse. 

________________________


Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Clique Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

jlpjlp · Answer

smit fraud fix (colle le rapport)

1/ telecharger :

http://siri.urz.free.fr/Fix/SmitfraudFix.php


2/ double clique sur smitfraudfix. puis sélectionne 1 et appuyer sur entrée afin de créer le rapport des infection présentes.

Thomas59 · Answer

Salut, voici le rapport du logiciel:

Scan done at 19:14:36,67, 28/03/2009
Run from C:\Documents and Settings\Quentin\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is 
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\foobar2000\foobar2000.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Documents and Settings\Quentin\Desktop\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\autorun.inf FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Quentin


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Quentin\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Quentin\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Quentin\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="My Current Home Page"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Your computer may be victim of a DNS Hijack: 85.255.x.x detected !

Description: 3Com 3C940 Gigabit LOM Ethernet Adapter
DNS Server Search Order: 85.255.112.200
DNS Server Search Order: 85.255.112.182

HKLM\SYSTEM\CCS\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: DhcpNameServer=85.255.112.200,85.255.112.182
HKLM\SYSTEM\CCS\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: NameServer=85.255.112.200,85.255.112.182
HKLM\SYSTEM\CS1\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: DhcpNameServer=85.255.112.200,85.255.112.182
HKLM\SYSTEM\CS1\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: NameServer=85.255.112.200,85.255.112.182
HKLM\SYSTEM\CS2\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: DhcpNameServer=85.255.112.200,85.255.112.182
HKLM\SYSTEM\CS2\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: NameServer=85.255.112.200,85.255.112.182
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=85.255.112.200,85.255.112.182
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.112.200,85.255.112.182
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=85.255.112.200,85.255.112.182
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.112.200,85.255.112.182
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=85.255.112.200,85.255.112.182
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.112.200,85.255.112.182


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

jlpjlp · Answer

refais smitfraudfix , choisi l'option 5 et colle le rapport


puis




scan avec malwarebyte , fais un scan minutieux et colle le rapport obtenu et vire ce qui est trouvé:


https://www.malekal.com/tutoriel-malwarebyte-anti-malware/­

______________________

Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Clique Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

Thomas59 · Answer

Lorsque je fais l'option 5 de Smitfraudfix, j'ai un message d'alerte :
"Your computer may be victim of a DNS Hijack : 85.255.x.x" (bon jusque là ok, c'est dans ma config internet...)
[...]
"Do you want to set your network to dynamic -DHCP- server ?"

C'est cette dernière phrase que je trouve bizarre. En quoi cela consiste ? Et est-ce que cela changera quelque chose dans ma connexion et mon réseau ?

jlpjlp · Answer

tu mets yes

Thomas59 · Answer

Voici le rapport de Smitfraud (option 5):
SmitFraudFix v2.405

Scan done at 20:35:37,39, 29/03/2009
Run from C:\Documents and Settings\Quentin\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is 
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» DNS Before Fix

Your computer may be victim of a DNS Hijack: 85.255.x.x detected !

Description: 3Com 3C940 Gigabit LOM Ethernet Adapter
DNS Server Search Order: 85.255.112.74
DNS Server Search Order: 85.255.112.102

HKLM\SYSTEM\CCS\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: DhcpNameServer=85.255.112.74,85.255.112.102
HKLM\SYSTEM\CCS\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: NameServer=85.255.112.74,85.255.112.102
HKLM\SYSTEM\CS1\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: DhcpNameServer=85.255.112.74,85.255.112.102
HKLM\SYSTEM\CS1\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: NameServer=85.255.112.74,85.255.112.102
HKLM\SYSTEM\CS2\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: DhcpNameServer=85.255.112.74,85.255.112.102
HKLM\SYSTEM\CS2\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: NameServer=85.255.112.74,85.255.112.102
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=85.255.112.74,85.255.112.102
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.112.74,85.255.112.102
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=85.255.112.74,85.255.112.102
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.112.74,85.255.112.102
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=85.255.112.74,85.255.112.102
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.112.74,85.255.112.102

»»»»»»»»»»»»»»»»»»»»»»»» DNS After Fix

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=85.255.112.74,85.255.112.102
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=85.255.112.74,85.255.112.102
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=85.255.112.74,85.255.112.102

Malwarebytes ne veut pas se lancer (il n'apparait même pas dans le gestionnaire des tâches), mais je ne sais pas pourquoi.

Quand à RSIT, je l'ai déjà effectuer (voir plus haut).

A propos du message d'erreur que j'avais eu avec Smitfraud, ça m'a reset ma connection internet (les données en tout cas, avec les IPs...), est-ce normal et y-a-t'il eu d'autres changements ?

jlpjlp · Answer

redémarre en mode sans échec (en appuyant sur F8 ou suppr, ou F5 au démarrage en général) puis lance smitfraudfix , sélectionne l'option 2 et appuyer sur entrée pour commencer la désinfection. lorsque le programme demande si tu veux nettoyer le registre mets oui en tapant 0 et entrée (colle le rapport dans ton prochain message)

__________________

remets toi en mode normal et refais l'option 5 et mets le rapport

________________


colle un rapport hijackthis 
 

http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

manuel :

https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo. 

ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste 

Ensuite avec Explorer créer un dossier c:\hijackthis 
Décompresser Hijackthis dans ce dossier. 
C'est important pour les sauvegardes."

Thomas59 · Answer

N'est-il pas dangereux de nettoyer le registre ? Je veux dire: si je le nettoie, cela ,aura des conséquences (comment windows marche si il manqumykue des objets dedans ?).

jlpjlp · Answer

non il faut le faire car tu es toujours détourné en ukraine !

Thomas9 · Answer

Rapport option 2:
SmitFraudFix v2.405

Scan done at 18:56:27,57, 31/03/2009
Run from C:\Documents and Settings\Quentin\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is 
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

127.0.0.1	search.netzany.co
127.0.0.1	urawa.cool.ne.jp
127.0.0.1	gamehouse.com
127.0.0.1	www.gamehouse.com
127.0.0.1	kqzyfj.com
127.0.0.1	www.kqzyfj.com
127.0.0.1	apmebf.com
127.0.0.1	www.apmebf.com
...

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: NameServer=212.27.53.252,212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: NameServer=212.27.53.252,212.27.54.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: NameServer=212.27.53.252,212.27.54.252


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

A noter que durant l'opération, le fichier cleanmgr n'a pas été trouvé, je ne sais pas si c'était important où pas.

Ensuite, rapport de l'option 5:
SmitFraudFix v2.405

Scan done at 19:02:14,23, 31/03/2009
Run from C:\Documents and Settings\Quentin\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is 
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» DNS Before Fix

Description: 3Com 3C940 Gigabit LOM Ethernet Adapter
DNS Server Search Order: 212.27.53.252
DNS Server Search Order: 212.27.54.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: NameServer=212.27.53.252,212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: NameServer=212.27.53.252,212.27.54.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: NameServer=212.27.53.252,212.27.54.252

»»»»»»»»»»»»»»»»»»»»»»»» DNS After Fix

Description: 3Com 3C940 Gigabit LOM Ethernet Adapter
DNS Server Search Order: 212.27.53.252
DNS Server Search Order: 212.27.54.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: NameServer=212.27.53.252,212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: NameServer=212.27.53.252,212.27.54.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: NameServer=212.27.53.252,212.27.54.252

Et le rapport HJT:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:07:34, on 31/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.17184)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Java\jre6\bin\jucheck.exe
C:\Program Files	rend micro\HijackThis\HijackThis.exe

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [NuonSoft Wallpaper Cycler] "C:\Program Files\NuonSoft\WallpaperCycler3\WallpaperCycler Lite.exe"  -cycle_and_exit
O4 - HKUS\S-1-5-19\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O13 - Gopher Prefix: 
O17 - HKLM\System\CCS\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: NameServer = 212.27.53.252,212.27.54.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: NameServer = 212.27.53.252,212.27.54.252
O17 - HKLM\System\CS2\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: NameServer = 212.27.53.252,212.27.54.252
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

jlpjlp · Answer

ok parfait tu n'est plus détourné!

vire ad aware qui est dépassé si tu paye pas

et
mets malwarebyte a la place


scan avec malwarebyte , fais un scan rapide et colle le rapport obtenu et vire ce qui est trouvé:


https://www.malekal.com/tutoriel-malwarebyte-anti-malware/­­

______________________ 

puis 


Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Clique Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

Thomas59 · Answer

Bonjour,

J'ai essayé de réinstaller Malwarebyte, néanmoins, il ne marche toujours pas (pas de lancement du tout, tout comme Spybot).

Voici le rapport log.txt de RSIT (le fichier info.txt) n'apparait plus et ce après avoir re-télécharger le logiciel, bizarre):
Logfile of random's system information tool 1.06 (written by random/random)
Run by Quentin at 2009-04-02 17:59:13
Microsoft Windows XP Professional Service Pack 3
System drive C: has 5 GB (48%) free of 10 GB
Total RAM: 2047 MB (75% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:59:18, on 02/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.17184)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\foobar2000\foobar2000.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Quentin\Desktop\RSIT.exe
C:\Program Files	rend micro\HijackThis\Quentin.exe

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [NuonSoft Wallpaper Cycler] "C:\Program Files\NuonSoft\WallpaperCycler3\WallpaperCycler Lite.exe"  -cycle_and_exit
O4 - HKUS\S-1-5-19\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O13 - Gopher Prefix: 
O17 - HKLM\System\CCS\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: NameServer = 212.27.53.252,212.27.54.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: NameServer = 212.27.53.252,212.27.54.252
O17 - HKLM\System\CS2\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: NameServer = 212.27.53.252,212.27.54.252
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

Thomas59 · Answer

J'ai oublié de préciser que j'ai toujours un problème avec Google. Les pages ne s'ouvrent plus dans un nouvel onglet, mais le temps de chargement est toujours de 5-10sec, et je suis parfois redirigée vers des pubs.

jlpjlp · Answer

Télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

http://www.bleepingcomputer.com/combofix/fr/comment-utiliser­-combofix

Thomas59 · Answer

Le lien ne fonctionne pas, pourrais-tu me le redonner ?

jlpjlp · Answer

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Thomas59 · Answer

Salut,

voici le rapport de Combofix. Apparemment il y avait des fichiers malveillants que ni l'antivirus, ni ad-aware n'avaient trouvés:
ComboFix 09-04-03.01 - Quentin 2009-04-04 13:54:09.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.2047.1630 [GMT 2:00]
Running from: c:\documents and settings\Quentin\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\drivers\gaopdxcxeypbpydwwqbuhhbqpkltenlefrqaim.sys
c:\windows\system32\drivers\gaopdxhwaqbrfvkiomtbqvrgicbdjnthxirprr.sys
c:\windows\system32\drivers\gaopdxnbrxcwfowsrufnaqksmevatconbxfpro.sys
c:\windows\system32\drivers\gaopdxnsecbdviuterttivkyfwoxapquowolre.sys
c:\windows\system32\drivers\gaopdxqvcacplwknchhhcrtkuotvfnyrwwfvyq.sys
c:\windows\system32\drivers\gaopdxykdjxyaosunjexlmjepsxowrmmecotep.sys
c:\windows\system32\dumphive.exe
c:\windows\system32\gaopdxcounter
c:\windows\system32\gaopdxwowtltebbwkllntjlapgsdotonxcoevy.dll
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\instsrv.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\pthreadGC2.dll
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe
D:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gaopdxserv.sys

((((((((((((((((((((((((( Files Created from 2009-03-04 to 2009-04-04 )))))))))))))))))))))))))))))))
.

2009-04-02 17:39 . 2008-04-13 22:15 15,104 --a------ c:\windows\system32\drivers\usbscan.sys
2009-04-02 17:34 . 2009-04-02 17:34 <DIR> d-------- c:\program files\Canon
2009-04-02 17:34 . 2009-04-02 17:34 <DIR> d--h----- C:\CanoScan
2009-04-02 17:34 . 2002-05-24 03:04 389,180 --a------ c:\windows\system32\UCS32P.DLL
2009-04-02 17:34 . 2004-03-17 19:54 274,432 --a------ c:\windows\system32\CNQL1208.dll
2009-04-02 17:34 . 2004-03-01 11:43 40,960 --a------ c:\windows\system32\CNQU77.DLL
2009-04-02 17:31 . 2009-04-02 17:31 <DIR> d-------- c:\windows\StartHtmico
2009-04-02 17:31 . 2009-04-02 17:31 <DIR> d-------- c:\windows\IP4000,3000
2009-04-02 17:31 . 2009-04-02 17:31 <DIR> d--h----- C:\BJPrinter
2009-04-02 17:31 . 2004-04-23 07:00 116,736 --a------ c:\windows\system32\CNMLM64.DLL
2009-04-02 17:31 . 2004-03-11 18:06 86,016 -ra------ c:\windows\system32\CNMCP64.exe
2009-04-02 17:31 . 2004-04-23 07:00 7,680 --a------ c:\windows\system32\CNMVS64.DLL
2009-04-01 12:24 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-04-01 12:23 . 2009-04-01 12:24 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-04-01 12:23 . 2009-04-01 12:23 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-04-01 12:23 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-30 20:01 . 2009-03-19 18:38 15,688 --a------ c:\windows\system32\lsdelete.exe
2009-03-29 19:17 . 2009-03-29 19:17 <DIR> d-------- c:\documents and settings\Quentin\Application Data\OpenOffice.org
2009-03-28 14:59 . 2009-03-28 15:00 <DIR> d-------- C:\rsit
2009-03-28 14:59 . 2009-03-31 19:04 <DIR> d-------- c:\program files\trend micro
2009-03-28 14:57 . 2009-03-28 14:57 <DIR> d-------- C:\Rooter$
2009-03-26 18:06 . 2009-03-26 18:06 <DIR> d-------- c:\program files\QT Lite
2009-03-26 18:06 . 2009-03-26 18:06 <DIR> d-------- c:\documents and settings\All Users\Application Data\Apple Computer
2009-03-26 18:06 . 2009-01-05 17:18 90,112 --a------ c:\windows\system32\QuickTimeVR.qtx
2009-03-26 18:06 . 2009-01-05 17:18 57,344 --a------ c:\windows\system32\QuickTime.qts
2009-03-25 19:14 . 2009-03-25 19:14 <DIR> d-------- c:\documents and settings\Quentin\Application Data\Nero
2009-03-25 17:03 . 2009-03-25 17:03 <DIR> d-------- c:\program files\CCleaner
2009-03-24 18:25 . 2009-03-24 18:25 <DIR> d-------- c:\windows\Sun
2009-03-21 16:04 . 2009-03-21 16:04 126,976 --a------ c:\windows\War3Unin.exe
2009-03-21 16:04 . 2009-03-21 16:17 25,556 --a------ c:\windows\War3Unin.dat
2009-03-21 16:04 . 2009-03-21 16:04 2,829 --a------ c:\windows\War3Unin.pif
2009-03-21 15:54 . 2009-03-21 15:54 <DIR> d-------- c:\documents and settings\All Users\Application Data\{dd9a9e7625afb6d9307f2cd8e4c1abd8}
2009-03-20 17:38 . 2009-03-09 05:19 410,984 --a------ c:\windows\system32\deploytk.dll
2009-03-19 19:52 . 2009-03-19 19:52 <DIR> d-------- c:\program files\JRE
2009-03-19 19:51 . 2009-03-19 19:51 <DIR> d-------- c:\program files\OpenOffice.org 3
2009-03-19 18:38 . 2009-03-19 18:38 <DIR> d----c--- c:\windows\system32\DRVSTORE
2009-03-19 18:38 . 2009-03-19 18:37 64,160 --a------ c:\windows\system32\drivers\Lbd.sys
2009-03-19 18:26 . 2009-03-19 18:26 <DIR> d-------- c:\program files\Lavasoft
2009-03-19 18:26 . 2009-03-19 18:38 <DIR> d-------- c:\documents and settings\All Users\Application Data\Lavasoft
2009-03-19 18:26 . 2009-03-19 18:26 <DIR> d--h-c--- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-03-19 18:06 . 2009-03-19 18:23 <DIR> d-------- c:\documents and settings\Quentin\Application Data\gtk-2.0
2009-03-19 18:06 . 2009-03-19 18:06 <DIR> d-------- c:\documents and settings\Quentin\.thumbnails
2009-03-19 18:05 . 2009-03-19 18:25 <DIR> d-------- c:\documents and settings\Quentin\.gimp-2.6
2009-03-19 18:05 . 2009-03-19 18:05 <DIR> d-------- c:\documents and settings\Quentin\.gegl-0.0
2009-03-19 18:00 . 2009-03-19 18:00 <DIR> d-------- c:\program files\Guitar Pro 5
2009-03-18 19:31 . 2009-03-18 19:43 <DIR> d-------- c:\program files\PhotoFiltre Studio
2009-03-18 19:31 . 2009-03-18 19:31 45 ---h----- c:\windows\dsez6020.dat
2009-03-16 21:42 . 2009-04-03 20:02 <DIR> d-------- c:\program files\adslTV
2009-03-16 21:42 . 2009-03-16 23:02 <DIR> d-------- c:\documents and settings\Quentin\Application Data\vlc
2009-03-13 19:58 . 2009-03-27 17:35 <DIR> d-------- c:\documents and settings\All Users\Application Data\TrackMania
2009-03-12 21:06 . 2009-03-12 21:06 664 --a------ c:\windows\system32\d3d9caps.dat
2009-03-12 21:06 . 2009-03-12 21:06 552 --a------ c:\windows\system32\d3d8caps.dat
2009-03-12 20:25 . 2009-03-15 00:15 926 --a------ c:\windows\system32\CTHELPER.RPT
2009-03-12 18:04 . 2009-03-23 19:54 <DIR> d-------- c:\documents and settings\All Users\Application Data\Messenger Plus!
2009-03-12 17:55 . 2009-03-12 17:55 <DIR> d-------- c:\program files\NuonSoft
2009-03-12 17:33 . 2009-03-12 17:33 <DIR> d-------- c:\program files\Windows Media Connect 2
2009-03-12 17:33 . 2009-03-12 17:33 <DIR> d--hs---- c:\documents and settings\All Users\DRM
2009-03-12 17:33 . 2009-03-12 17:33 23,392 --a------ c:\windows\system32\nscompat.tlb
2009-03-12 17:33 . 2009-03-12 17:33 16,832 --a------ c:\windows\system32\amcompat.tlb
2009-03-12 17:32 . 2009-03-12 17:32 <DIR> d-------- c:\windows\system32\LogFiles
2009-03-11 21:58 . 2009-03-11 21:58 <DIR> d-------- c:\program files\Messenger Plus! Live
2009-03-11 20:05 . 2009-03-11 20:05 <DIR> d-------- c:\program files\Microsoft
2009-03-11 20:05 . 2009-04-04 13:01 <DIR> d-------- c:\documents and settings\Quentin\Tracing
2009-03-11 20:04 . 2009-03-11 20:04 <DIR> d-------- c:\program files\Windows Live SkyDrive
2009-03-11 20:02 . 2009-03-11 20:02 <DIR> d-------- c:\program files\Common Files\Windows Live
2009-03-11 19:04 . 2009-03-11 19:04 0 --a------ c:\windows\nsreg.dat
2009-03-11 18:52 . 2009-03-11 18:52 <DIR> d-------- c:\program files\Avira
2009-03-11 16:58 . 2009-04-03 22:12 69 --a------ c:\windows\NeroDigital.ini
2009-03-11 15:26 . 2003-12-31 09:48 106,496 --a------ c:\windows\system32\drivers\CTTHXCal.DLL
2009-03-11 15:21 . 2009-04-04 13:49 4,923,561 --a------ c:\windows\{00000002-00000000-0000000D-00001102-00000004-20021102}.CDF
2009-03-11 15:20 . 2000-05-11 02:00 90,112 --------- c:\windows\Updreg.EXE
2009-03-11 15:20 . 1999-10-10 19:00 41,984 --------- c:\windows\Ctregrun.exe
2009-03-11 15:20 . 2009-04-04 13:52 32,592 --a------ c:\windows\system32\BMXStateBkp-{00000002-00000000-0000000D-00001102-00000004-20021102}.rfx
2009-03-11 15:20 . 2009-04-04 13:52 32,592 --a------ c:\windows\system32\BMXState-{00000002-00000000-0000000D-00001102-00000004-20021102}.rfx
2009-03-11 15:20 . 2009-04-04 13:52 31,728 --a------ c:\windows\system32\BMXCtrlState-{00000002-00000000-0000000D-00001102-00000004-20021102}.rfx
2009-03-11 15:20 . 2009-04-04 13:52 31,728 --a------ c:\windows\system32\BMXBkpCtrlState-{00000002-00000000-0000000D-00001102-00000004-20021102}.rfx
2009-03-11 15:20 . 2009-04-04 13:52 1,080 --a------ c:\windows\system32\settingsbkup.sfm
2009-03-11 15:20 . 2009-04-04 13:52 1,080 --a------ c:\windows\system32\settings.sfm
2009-03-11 15:20 . 2009-04-04 13:52 384 --a------ c:\windows\system32\DVCStateBkp-{00000002-00000000-0000000D-00001102-00000004-20021102}.dat
2009-03-11 15:20 . 2009-04-04 13:52 384 --a------ c:\windows\system32\DVCState-{00000002-00000000-0000000D-00001102-00000004-20021102}.dat
2009-03-11 15:18 . 2001-05-28 14:47 32,768 --a------ c:\windows\system32\AudioHQU.cpl
2009-03-11 15:18 . 2001-05-28 14:47 12,288 --a------ c:\windows\system32\AHQCpURes.dll
2009-03-11 15:18 . 2009-03-11 15:18 184 --a------ c:\windows\system32\e000002.dat
2009-03-11 15:16 . 2003-03-05 09:07 15,840 --a------ c:\windows\system32\drivers\pfmodnt.sys
2009-03-11 15:14 . 2009-03-11 15:14 <DIR> d-------- c:\windows\system32\Win9X
2009-03-11 15:09 . 2008-04-14 00:15 172,416 --a------ c:\windows\system32\drivers\kmixer.sys
2009-03-11 15:09 . 2008-04-13 22:09 142,592 --a------ c:\windows\system32\drivers\aec.sys
2009-03-11 15:09 . 2008-04-14 00:47 83,072 --a------ c:\windows\system32\drivers\wdmaud.sys
2009-03-11 15:09 . 2008-04-14 00:45 60,800 --a------ c:\windows\system32\drivers\sysaudio.sys
2009-03-11 15:09 . 2008-04-14 00:15 56,576 --a------ c:\windows\system32\drivers\swmidi.sys
2009-03-11 15:09 . 2008-04-14 00:15 52,864 --a------ c:\windows\system32\drivers\DMusic.sys
2009-03-11 15:09 . 2008-04-14 00:09 7,552 --a------ c:\windows\system32\drivers\MSKSSRV.sys
2009-03-11 15:09 . 2008-04-14 00:15 6,272 --a------ c:\windows\system32\drivers\splitter.sys
2009-03-11 15:09 . 2008-04-14 00:09 5,376 --a------ c:\windows\system32\drivers\MSPCLOCK.sys
2009-03-11 15:09 . 2008-04-14 00:09 4,992 --a------ c:\windows\system32\drivers\MSPQM.sys
2009-03-11 15:09 . 2001-08-17 13:59 3,072 --a------ c:\windows\system32\drivers\audstub.sys
2009-03-11 15:09 . 2008-04-14 00:15 2,944 --a------ c:\windows\system32\drivers\drmkaud.sys
2009-03-11 15:08 . 2008-04-14 00:10 57,600 --a------ c:\windows\system32\drivers\redbook.sys
2009-03-11 15:08 . 2008-04-14 00:17 25,856 --a------ c:\windows\system32\drivers\usbprint.sys
2009-03-11 15:07 . 2003-06-20 05:36 163,840 --a------ c:\windows\system32\OpenAL32.dll
2009-03-11 15:07 . 1995-01-13 08:10 149,504 --------- c:\windows\system32\MFCANS32.DLL
2009-03-11 15:07 . 1995-01-13 08:10 108,032 --------- c:\windows\system32\MFCUIA32.DLL
2009-03-11 15:07 . 2009-03-11 15:07 184 --a------ c:\windows\system32\e000001.dat
2009-03-11 15:06 . 2009-03-11 15:19 <DIR> d-------- c:\windows\system32\data
2009-03-11 15:06 . 2008-04-13 23:49 146,048 --a------ c:\windows\system32\drivers\portcls.sys
2009-03-11 15:06 . 2008-04-14 04:42 129,536 --a------ c:\windows\system32\ksproxy.ax
2009-03-11 15:06 . 2008-04-14 05:42 74,240 --a------ c:\windows\system32\usbui.dll
2009-03-11 15:06 . 2008-04-13 23:15 60,160 --a------ c:\windows\system32\drivers\drmk.sys
2009-03-11 15:06 . 2008-04-14 00:06 42,368 --a------ c:\windows\system32\drivers\AGP440.SYS
2009-03-11 15:06 . 2008-04-13 23:15 10,624 --a------ c:\windows\system32\drivers\gameenum.sys
2009-03-11 15:06 . 2001-08-17 11:46 6,400 --a------ c:\windows\system32\drivers\enum1394.sys
2009-03-11 15:06 . 2008-04-14 04:41 4,096 --a------ c:\windows\system32\ksuser.dll
2009-03-11 15:06 . 2009-03-11 15:20 75 --a------ c:\windows\SBWIN.INI
2009-03-11 15:04 . 2009-03-11 15:20 99 --a------ c:\windows\È
2009-03-11 15:03 . 2009-03-14 18:55 <DIR> dr------- c:\documents and settings\All Users\Documents
2009-03-11 15:02 . 2009-03-11 15:02 <DIR> d-------- c:\program files\Driver Cleaner Pro
2009-03-11 15:00 . 2008-02-25 11:43 1,372,568 --a------ c:\windows\system32\drivers\CTMMFILT.SYS
2009-03-11 15:00 . 2008-02-25 11:43 1,366,424 --a------ c:\windows\system32\drivers\CT0531FL.SYS
2009-03-11 15:00 . 2005-06-07 22:58 765,952 --a------ c:\windows\system\CRLDS3D.DLL
2009-03-11 15:00 . 2008-02-20 22:59 163,840 --a------ c:\windows\system32\CTDVINST.DL_
2009-03-11 15:00 . 2008-02-20 22:46 104,448 --a------ c:\windows\system32\sfms32.dll
2009-03-11 15:00 . 2008-02-20 22:59 86,016 --a------ c:\windows\system32\CTCOINST.DL_
2009-03-11 15:00 . 2008-02-20 22:59 27,648 --a------ c:\windows\system32\ac3api.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-04 09:06 --------- d-----w c:\documents and settings\Quentin\Application Data\foobar2000
2009-04-02 15:34 --------- d--h--w c:\program files\InstallShield Installation Information
2009-04-01 15:42 --------- d-----w c:\program files\Orbitdownloader
2009-03-31 17:13 --------- d-----w c:\program files\Java
2009-03-26 16:07 --------- d-----w c:\program files\K-Lite Codec Pack
2009-03-25 15:03 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-03-25 14:53 --------- d-----w c:\program files\Spybot - Search & Destroy
2009-03-23 19:56 --------- d-----w c:\documents and settings\Quentin\Application Data\GrabPro
2009-03-18 17:20 --------- d-----w c:\program files\Paint.NET
2009-03-18 16:09 --------- d-----w c:\program files\Ray Adams
2009-03-12 18:11 --------- d-----w c:\program files\foobar2000
2009-03-11 18:05 --------- d-----w c:\program files\Windows Live
2009-03-11 16:52 --------- d-----w c:\documents and settings\All Users\Application Data\Avira
2009-03-11 14:53 --------- d-----w c:\documents and settings\Quentin\Application Data\Creative
2009-03-11 13:22 --------- d-----w c:\program files\Creative
2009-03-11 13:07 --------- d-----w c:\windows\system32\config\systemprofile\Application Data\Creative
2009-03-11 12:56 --------- d-----w c:\documents and settings\Quentin\Application Data\Media Player Classic
2009-03-11 12:42 --------- d-----w c:\documents and settings\Quentin\Application Data\atitray
2009-03-11 12:39 --------- d-----w c:\program files\Common Files\InstallShield
2009-03-11 12:37 --------- d-----w c:\program files\ATITool
2009-03-11 12:30 --------- d-----w c:\program files\HHD Software
2009-03-11 12:29 --------- d-----w c:\program files\jv16 PowerTools
2009-03-11 12:26 --------- d-----w c:\program files\UltraFXP
2009-03-11 12:26 --------- d-----w c:\program files\Nero
2009-03-11 12:26 --------- d-----w c:\program files\mIRC
2009-03-11 12:26 --------- d-----w c:\program files\Common Files\Nero
2009-03-11 12:26 --------- d-----w c:\program files\Common Files\Adobe
2009-03-11 12:25 --------- d-----w c:\program files\Mozilla Thunderbird
2009-03-11 12:25 --------- d-----w c:\program files\FastStone MaxView
2009-03-11 12:25 --------- d-----w c:\program files\Common Files\Java
2009-03-11 12:25 --------- d-----w c:\documents and settings\All Users\Application Data\Nero
2009-03-11 12:24 --------- d-----w c:\program files\JkDefrag
2009-03-11 12:24 --------- d-----w c:\program files\7-Zip
2009-03-11 12:24 --------- d-----w c:\documents and settings\Quentin\Application Data\Orbit
2009-03-11 12:21 --------- d-----w c:\program files\Reference Assemblies
2009-03-11 12:21 --------- d-----w c:\program files\MSBuild
2009-03-11 12:15 6,120 ----a-w c:\windows\BricoPackFoldersDelete.cmd
2009-03-11 12:15 51,036 ----a-w c:\windows\BricoPackUninst.cmd
2009-03-11 12:15 218,624 ----a-w c:\windows\system32\uxtheme.dll
2009-03-11 12:13 717,296 ----a-w c:\windows\system32\drivers\sptd.sys
2009-03-11 12:11 --------- d-----w c:\program files\Unlocker
2009-03-11 12:11 --------- d-----w c:\program files\SysInternals
2009-03-11 12:09 413,696 ----a-w c:\windows\system32\wrap_oal.dll
2009-02-24 23:26 2,255,360 ----a-w c:\windows\system32\x264vfw.dll
2009-02-09 18:56 67,584 ----a-w c:\windows\system32\ff_vfw.dll
2009-02-06 17:52 49,504 ----a-w c:\windows\system32\sirenacm.dll
2007-05-28 22:37 29,124,480 ----a-w c:\windows\system32\config\systemprofile\pack-vista-inspirat-2-1.0.exe
2007-05-28 22:37 29,124,480 ----a-w c:\documents and settings\Quentin\pack-vista-inspirat-2-1.0.exe
2007-05-28 22:37 29,124,480 ----a-w c:\documents and settings\Default User\pack-vista-inspirat-2-1.0.exe
.

------- Sigcheck -------

2008-07-09 15:00 821248 ded5c5e1901f3daf78f5f0ad036e8ea9 c:\windows\system32\wininet.dll

2008-07-09 15:00 361600 a29e1209f925a0e9b330e11da5fc7bab c:\windows\system32\drivers\tcpip.sys

2008-07-09 15:00 2185216 d78b8fef28298c32aad37745ab26bde5 c:\windows\system32\ntkrnlpa.exe

2008-07-09 15:00 2306560 8c4050bd9fd87e23cded28ffa889b0ba c:\windows\system32\ntoskrnl.exe

2008-07-09 15:00 975872 561a50497324f378e30f55d09b4e1258 c:\windows\explorer.exe

2008-07-09 15:00 68440 84d9a61860272d6177d46c86b8431557 c:\windows\system32\wuauclt.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [2007-03-19 630784]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-03-12 3885408]
"NuonSoft Wallpaper Cycler"="c:\program files\NuonSoft\WallpaperCycler3\WallpaperCycler Lite.exe" [2007-12-15 1947704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SBDrvDet"="c:\program files\Creative\SB Drive Det\SBDrvDet.exe" [2002-12-03 45056]
"CTSysVol"="c:\program files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" [2003-07-02 57344]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-03-19 515416]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"CTHelper"="CTHELPER.EXE" [2003-06-20 c:\windows\system32\CTHELPER.EXE]
"AsioReg"="CTASIO.DLL" [2003-06-20 c:\windows\system32\CTASIO.DLL]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SetDefaultMIDI"="MIDIDEF.EXE" [2002-12-03 c:\windows\MIDIDEF.EXE]
"nltide_3"="advpack.dll" [2008-07-09 c:\windows\system32\advpack.dll]

c:\documents and settings\Quentin\Start Menu\Programs\Startup\
RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-19 630784]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HideRunAsVerb"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"="0x00000000"
"UpdatesDisableNotify"="0x00000000"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-03-19 64160]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 951632]

--- Other Services/Drivers In Memory ---

*NewlyCreated* - ASPI32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
DcomLaunch REG_MULTI_SZ DcomLaunch

[COLOR=RED]NETSVCS REQUIRES REPAIRS - current entries shown/COLOR
6to4
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
DHCP
EventSystem
FastUserSwitchingCompatibility
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Netman
Nla
NWCWorkstation
Nwsapagent
Rasauto
Rasman
Schedule
SENS
Sharedaccess
Tapisrv
Themes
WZCSVC
Wmi
WmdmPmSp
winmgmt
xmlprov
napagent
hkmsvc
BITS
wuauserv
ShellHWDetection
WmdmPmSN

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

.
Contents of the 'Scheduled Tasks' folder

2009-03-26 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-03-19 18:37]
.
.
------- Supplementary Scan -------
.
IE: &Download by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/202
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
TCP: {35851DA5-9960-43FC-AD6C-B369F26A135A} = 212.27.53.252,212.27.54.252
FF - ProfilePath - c:\documents and settings\Quentin\Application Data\Mozilla\Firefox\Profiles\as0c1y8d.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://go.microsoft.com/fwlink/?LinkId=69157
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - plugin: c:\progra~1\MOZILL~1\plugins\npdeploytk.dll
FF - plugin: c:\progra~1\MOZILL~1\plugins\npdivx32.dll
FF - plugin: c:\progra~1\MOZILL~1\plugins\npdsplay.dll
FF - plugin: c:\progra~1\MOZILL~1\plugins\npnul32.dll
FF - plugin: c:\progra~1\MOZILL~1\plugins\NPOFFICE.DLL
FF - plugin: c:\progra~1\MOZILL~1\plugins\nppdf32.dll
FF - plugin: c:\progra~1\MOZILL~1\plugins\nppl3260.dll
FF - plugin: c:\progra~1\MOZILL~1\plugins\npqtplugin.dll
FF - plugin: c:\progra~1\MOZILL~1\plugins\npqtplugin2.dll
FF - plugin: c:\progra~1\MOZILL~1\plugins\npqtplugin3.dll
FF - plugin: c:\progra~1\MOZILL~1\plugins\npqtplugin4.dll
FF - plugin: c:\progra~1\MOZILL~1\plugins\npqtplugin5.dll
FF - plugin: c:\progra~1\MOZILL~1\plugins\nprpjplug.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-04 13:55:37
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(500)
c:\windows\system32\Ati2evxx.dll
.
Completion time: 2009-04-04 13:56:48
ComboFix-quarantined-files.txt 2009-04-04 11:56:46

Pre-Run: 5,223,260,160 bytes free
Post-Run: 5,214,609,408 bytes free

374

De plus, j'ai essayé de lancer par curiosité Spybot, et il s'est lancé. J'essayerais donc de faire de re-télécharger Malwarebyte en supposant qu'il marchera lui aussi maintenant.

Je te tiendrais aussi au courant au niveau des pubs avec google.

A+.

jlpjlp · Answer

ok oui mets le rapport malwarebyte

puis un nouveau RSIT

a plus

Thomas59 · Answer

Voici pour Malwarebyte:
Malwarebytes' Anti-Malware 1.35
Database version: 1940
Windows 5.1.2600 Service Pack 3

04/04/2009 20:36:10
mbam-log-2009-04-04 (20-36-10).txt

Scan type: Full Scan (C:\|D:\|)
Objects scanned: 117211
Time elapsed: 27 minute(s), 22 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 1
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

Et RSIT (encore une fois, seul log.txt s'affiche):
Logfile of random's system information tool 1.06 (written by random/random)
Run by Quentin at 2009-04-05 12:07:24
Microsoft Windows XP Professional Service Pack 3
System drive C: has 4 GB (35%) free of 10 GB
Total RAM: 2047 MB (67% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:07:33, on 05/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.17184)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Quentin\Desktop\RSIT.exe
C:\Program Files	rend micro\HijackThis\Quentin.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [NuonSoft Wallpaper Cycler] "C:\Program Files\NuonSoft\WallpaperCycler3\WallpaperCycler Lite.exe"  -cycle_and_exit
O4 - HKUS\S-1-5-18\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O13 - Gopher Prefix: 
O17 - HKLM\System\CCS\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: NameServer = 212.27.53.252,212.27.54.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: NameServer = 212.27.53.252,212.27.54.252
O17 - HKLM\System\CS2\Services\Tcpip\..\{35851DA5-9960-43FC-AD6C-B369F26A135A}: NameServer = 212.27.53.252,212.27.54.252
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CiSvc - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: UPS - Unknown owner - C:\WINDOWS\System32\ups.exe (file missing)

jlpjlp · Answer

ok c'est bon!



utilise  pour supprimer tes traces 

CCLEANER: (lance un nettoyage et répare 3 fois le registre) sans installer la barre yahoo 
(dans les options puis avancé :désactive la case: effacer les fichiers de plus de 48 heures)
https://www.malekal.com/tutoriel-ccleaner/
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
----------------------- 


pour virer ce qui a été utilisé:


Télécharge ToolsCleaner sur ton bureau. 
-->  http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
# Clique sur Recherche et laisse le scan agir ... 
# Clique sur Suppression pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).







rq:


pour protéger gratos ton ordi

http://www.commentcamarche.net/telecharger/logiciel 4 securite

mettre un antivirus

ANTIVIR  ou AVG8 ou (AVAST ) 
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
https://www.avira.com/fr/free-antivirus-windows
-------------
des anti-espions :
MalwareByte's Anti-Malware + SPYBOT +/-    si tea timer non active de spybot: 
 WINDOWS    DEFENDER ou  SPYWARE TERMINATOR ou SPYWARE GUARD
+
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation  : il suffit de faire "update" pour mettre à jour tous les mois  et ensuite" enable all protection" pour immuniser)...

Rq : spybot …  sortent de nouvelles versions régulièrement, vérifiez que vous avez la dernière version 
--------
un pare feu :
celui de (Windows) ou mieux Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO

http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall
https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html
https://forum.pcastuces.com/sujet.asp?f=25&s=35606 
https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
https://www.01net.com/telecharger/windows/Securite/firewall/fiches/18128.html
https://www.zonealarm.com/software/free-firewall

-----------
CCLEANER pour effacer les traces de surf
---------
naviguer avec firefox ou safari ou opera et non internet explorer plus  touché par les virus
http://www.mozilla-europe.org/fr/products/firefox/

Thomas59 · Answer

Salut,

j'avais déjà CC Cleaner et Antivir et j'utilisais déjà Firefox. Comme firewall j'ai celui de mon rooter (Netgear). Vu que j'avais installé Malwarebyte pour donner un rapport ici, il ne me restera plus qu'à mettre Spywareblaster. Merci de tes conseils.

Voici le rapport ToolsCleaner:
[ Rapport ToolsCleaner version 2.3.4 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Start Menu\Programs\HijackThis: trouvé !
C:\Documents and Settings\All Users\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Quentin\Desktop\ComboFix.exe: trouvé !
C:\Documents and Settings\Quentin\Desktop\Rsit.exe: trouvé !
C:\Program Files	rend micro\HijackThis: trouvé !
C:\Program Files	rend micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files	rend micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\All Users\Start Menu\Programs\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Quentin\Desktop\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Program Files	rend micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Documents and Settings\Quentin\Desktop\Rsit.exe: supprimé !
C:\Program Files	rend micro\HijackThis\hijackthis.log: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Start Menu\Programs\HijackThis: supprimé !
C:\Program Files	rend micro\HijackThis: supprimé !

Dernière chose, depuis que j'ai utiliser Combofix, le raccourci clavier d'internet me dirige sur IE, tout comme les liens msn. Sais-tu d'où ça vient ?

jlpjlp · Answer

Dernière chose, depuis que j'ai utiliser Combofix, le raccourci clavier d'internet me dirige sur IE, tout comme les liens msn. Sais-tu d'où ça vient ?

oui combofix a initiialisé


tu relance firefox et  dans les options tu le remets par défaut et cela rentrera dans l'ordre

Thomas59 · Answer

Il me semblais bien qu'il y avait une option, mais je ne l'avais pas retrouvé ? Où se trouve-t-elle ?

jlpjlp · Answer

dans OUTILs puis OPTIONS puis AVANCE  et c'est en bas

Thomas59 · Answer

Voilà c'est fait.

Merci beaucoup de m'avoir aidé dans mes problèmes, et d'avoir eu la patience de le faire !

jlpjlp · Answer

de rien 

bonne suite

Problème Google et sécurité.

27 réponses

Votre réponse

Discussions similaires

Newsletters