[HijackThis] Rapport, deux spywares coriaces.

Pierrou -  
 pierrou -
Bonjour.

Spybot me trouve deux entrées que je n'arrive pas a effacer.
Il s'agit de command service et max search.

J'ai essayé par Regedit, Regcleaner, Adaware, A-squared (A2), Ccleaner et l'antivirus (Avast!).

J'en arrive au bout de mes cmpétences et je fait donc appel à vous pour m'aider sur la base de ce rapport Hijack This.

D'avance merci.

Citation:
Logfile of HijackThis v1.99.1
Scan saved at 18:41:11, on 15/12/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\ntsfd.exe
C:\windows\adtech2006a.exe
C:\WINDOWS\System32\NeroFil.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\ITE\ITE IT8212 ATA RAID Controller\RaidMgr.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\NukeNabber\nukenabber.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\pierrou.MAITREDU-B8MTG1\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe
O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsfd.exe
O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe
O4 - HKLM\..\Run: [adtech2006] C:\windows\adtech2006a.exe
O4 - HKLM\..\Run: [NeroFil] NeroFil.EXE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsfd.exe
O4 - HKLM\..\RunServices: [NeroFil] NeroFil.EXE
O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsfd.exe
O4 - HKCU\..\Run: [NeroFil] NeroFil.EXE
O4 - HKCU\..\RunServices: [NeroFil] NeroFil.EXE
O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAID Manager.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)
O9 - Extra 'Tools' menuitem: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\system32\winksas.exe (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

28 réponses

  • 1
  • 2
  1. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Bonsoir Pierrou,

    Essaye de passer Spybot et adaware en mode sans echec,
    Pour cela, tu tapotes la touche F8 dès le début de l allumage du pc sans t arrêter
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
    (Si F8 ne marche pas utilise la touche F5)

    bon courage.

    a+
    0
    1. Pierrou
       
      J'ai essayé en mode sans echec, sans résultat. :/
      0
  2. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Bonsoir Pierrou,

    Vide le contenu de ces dossiers :

    C:\Documents and Settings\ton compte\Local Settings\Temp
    C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
    C:\Windows\Temp
    C:\Windows\Prefetch [supprime tout sauf le fichier nommé " layout.ini"]

    Scanne ton PC avec cet antispyware en ligne : http://www.trendmicro.com/spyware-scan/

    Dis moi ensuite si le problème est reglé.
    0
  3. incognito02 Messages postés 3487 Statut Contributeur 138
     
    J'ai un doute sur un fichier,

    Affiche tous les fichiers et dossiers :
    Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage

    Coche « afficher les fichiers et dossiers cachés »

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décoche « masquer les extensions dont le type est connu »
    Puis fais «Ok» pour valider les changements.
    Et appliquer !

    analyse ce fichier sur ce site :
    http://www.virustotal.com/xhtml/virustotal_en.html
    Clik sur parcourir
    Recherche ceci :
    C:\WINDOWS\ALCWZRD.EXE

    Clik send et colle le rapport ici

    Bon Appétit à tous !

    A+
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. pierrou
     
    @Kristopher:

    Scan effectué, plusieurs menaces détéctées et éradiquées. (action effectuée apres le scan bitdefender)

    Apres un second scan il reste toujours command service :(

    @Incognito02:

    Le scan bitdefender m'a trouvé et supprimé 4 virus sur six fichiers.

    Et voila le log de totalvirus:

    This is a report processed by VirusTotal on 12/15/2005 at 21:27:00 (CET) after scanning the file "ALCWZRD.EXE" file.

    Antivirus Version Update Result
    AntiVir 6.33.0.61 12.15.2005 no virus found
    Avast 4.6.695.0 12.15.2005 no virus found
    AVG 718 12.15.2005 no virus found
    Avira 6.33.0.61 12.15.2005 no virus found
    BitDefender 7.2 12.15.2005 no virus found
    CAT-QuickHeal 8.00 12.15.2005 no virus found
    ClamAV devel-20051108 12.15.2005 no virus found
    DrWeb 4.33 12.15.2005 no virus found
    eTrust-Iris 7.1.194.0 12.15.2005 no virus found
    eTrust-Vet 12.3.3.0 12.15.2005 no virus found
    Fortinet 2.54.0.0 12.15.2005 no virus found
    F-Prot 3.16c 12.15.2005 no virus found
    Ikarus 0.2.59.0 12.15.2005 no virus found
    Kaspersky 4.0.2.24 12.15.2005 no virus found
    McAfee 4651 12.15.2005 no virus found
    NOD32v2 1.1325 12.15.2005 no virus found
    Norman 5.70.10 12.15.2005 no virus found
    Panda 8.02.00 12.15.2005 no virus found
    Sophos 4.00.0 12.15.2005 no virus found
    Symantec 8.0 12.15.2005 no virus found
    TheHacker 5.9.1.056 12.15.2005 no virus found
    VBA32 3.10.5 12.15.2005 no virus found

    A priori celui la est clean ^^
    0
  6. Utilisateur anonyme
     
    salut
    je fais une breve apparition

    Télécharge ceci: (merci a S!RI pour ce petit programme).
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
    Copie/colle le sur le poste stp.

    Incognito reprendra la suite
    0
  7. pierrou
     
    SmitFraudFix v2.08

    Rapport fait à 21:38:56,81 le 15/12/2005
    Executé à partir de C:\Documents and Settings\pierrou.MAITREDU-B8MTG1\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600]

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

    C:\drsmartload1.exe PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\pierrou.MAITREDU-B8MTG1\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

    C:\Program Files\Fichiers communs\Windows\services32.exe PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"
    "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

    C'est grave docteur? O_o
    0
  8. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Bien vu Régis !

    Pierrou,

    Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l allumage du pc sans t arrêter
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
    (Si F8 ne marche pas utilise la touche F5)

    Relance Smitfraud et choisis l'option 2, réponds Oui à chaque question
    Sauvegarde le log.

    Vide la corbeille.

    Redémarre en mode normal, reposte un log Hijackthis et le log de smitfraud.

    A+

    0
  9. aza
     
    Pierrou a du quitter son appart, on s'y remet demain, merci pour la reponse, et dire que j'avais pensé a Smitfraud dès le début ^^

    :)
    0
  10. pierrou
     
    SmitFraudFix v2.08

    Rapport fait à 16:12:44,25 le 16/12/2005
    Executé à partir de C:\Documents and Settings\pierrou.MAITREDU-B8MTG1\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600]

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\drsmartload1.exe supprimé
    C:\Program Files\Fichiers communs\Windows\services32.exe supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

    Ok, sur un autre forum on me diagnostique Gaobot et Rbot, je vais voir ce uqe je peux faire de ce coté, je vous tient au courant de toute façons... Merci pour Smitfraud.
    0
  11. pierrou
     
    Et un rapport panda, on me l'a conseillé ailleurs et ca pourra peut être nous aider.

    Incident Statut Analyse

    Adware:adware/sqwire Non désinfecté C:\WINDOWS\SYSTEM32\tsuninst.exe
    Adware:adware/dollarrevenue Non désinfecté C:\WINDOWS\drsmartload.dat
    Adware:adware/popupsandbannersNon désinfecté C:\WINDOWS\teller2.chk
    Adware:adware/maxifiles Non désinfecté C:\PROGRAM FILES\FICHIERS COMMUNS\Windows
    Adware:adware/commad Non désinfecté Registre Windows
    Adware:Adware/Sqwire Non désinfecté C:\Program Files\Fichiers communs\wuzf\wuzfd\wuzfc.dll
    Adware:Adware/DollarRevenue Non désinfecté C:\suhde.exe
    Adware:Adware/Noname Non désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\6VG56Z2V\adtech2006a[1].exe
    Adware:Adware/CommAd Non désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\6VG56Z2V\timessquare[1].exe
    Adware:Adware/DollarRevenue Non désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OR4J0ZY7\drsmartload[1].exe
    Adware:Adware/Sqwire Non désinfecté C:\WINDOWS\system32\tsuninst.exe
    0
  12. pierrou
     
    Je suis désespéré ^^

    Un log Spybot, sica peut aider:

    Command Service: Réglages (Clé du registre, nothing done)
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService

    Command Service: Réglages (Clé du registre, nothing done)
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

    Common Dialogs: History (2 files) (Clé du registre, nothing done)
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

    Internet Explorer: User agent (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-343818398-1343024091-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32)

    Log: Shutdown: System32\wbem\logs\wmiprov.log (Sauver le fichier, nothing done)
    C:\WINDOWS\System32\wbem\logs\wmiprov.log

    Log: Activity: ntbtlog.txt (Sauver le fichier, nothing done)
    C:\WINDOWS\ntbtlog.txt

    Log: Activity: SchedLgU.Txt (Sauver le fichier, nothing done)
    C:\WINDOWS\SchedLgU.Txt

    Log: Install: setupapi.log (Sauver le fichier, nothing done)
    C:\WINDOWS\setupapi.log

    Log: Shutdown: System32\wbem\logs\wbemess.log (Sauver le fichier, nothing done)
    C:\WINDOWS\System32\wbem\logs\wbemess.log

    Log: Shutdown: System32\wbem\logs\wbemprox.log (Sauver le fichier, nothing done)
    C:\WINDOWS\System32\wbem\logs\wbemprox.log

    MaxSearch: Réglages (Clé du registre, nothing done)
    HKEY_USERS\S-1-5-18\Software\XBTB07618

    MaxSearch: Réglages (Clé du registre, nothing done)
    HKEY_USERS\.DEFAULT\Software\XBTB07618

    MS Direct3D: Most recent application (Modification du registre, nothing done)
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Direct3D\MostRecentApplication\Name!=

    MS DirectDraw: Most recent application (Modification du registre, nothing done)
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\Name!=

    MS Media Player: Client ID (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-18\Software\Microsoft\MediaPlayer\Player\Settings\Client ID!=

    MS Media Player: Application data file (global) () (Fichier, nothing done)
    C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Media Index\wmplibrary_v_0_12.db

    MS Media Player: Client ID (Modification du registre, nothing done)
    HKEY_USERS\.DEFAULT\Software\Microsoft\MediaPlayer\Player\Settings\Client ID!=

    MS Regedit: Recent open key (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-343818398-1343024091-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\LastKey!=

    Windows Explorer: Recent file global history (Clé du registre, nothing done)
    HKEY_USERS\S-1-5-21-343818398-1343024091-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

    Windows Explorer: Last visited history (2 files) (Clé du registre, nothing done)
    HKEY_USERS\S-1-5-21-343818398-1343024091-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU

    Windows Explorer: User Assistant history files (83 files) (Clé du registre, nothing done)
    HKEY_USERS\S-1-5-21-343818398-1343024091-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count

    Windows Explorer: User Assistant history IE (7 files) (Clé du registre, nothing done)
    HKEY_USERS\S-1-5-21-343818398-1343024091-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count

    Windows Media SDK: Volume serial number (Valeur du registre, nothing done)
    HKEY_USERS\S-1-5-21-343818398-1343024091-839522115-1003\Software\Microsoft\Windows Media\WMSDK\General\VolumeSerialNumber

    Windows Media SDK: Computer name (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-18\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

    Windows Media SDK: Computer name (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-343818398-1343024091-839522115-1003\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

    Windows Media SDK: Computer name (Modification du registre, nothing done)
    HKEY_USERS\.DEFAULT\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

    Windows Media SDK: Unique ID (Modification du registre, nothing done)
    HKEY_USERS\S-1-5-21-343818398-1343024091-839522115-1003\Software\Microsoft\Windows Media\WMSDK\General\UniqueID!={00000000-0000-0000-0000-000000000000}

    --- Spybot - Search && Destroy version: 1.3 ---
    2005-12-09 Includes\Cookies.sbi
    2005-12-09 Includes\Dialer.sbi
    2005-12-09 Includes\Hijackers.sbi
    2005-12-09 Includes\Keyloggers.sbi
    2004-05-12 Includes\LSP.sbi
    2005-12-09 Includes\Malware.sbi
    2005-12-09 Includes\PUPS.sbi
    2005-12-09 Includes\Revision.sbi
    2005-12-09 Includes\Security.sbi
    2005-12-09 Includes\Spybots.sbi
    2005-02-17 Includes\Tracks.uti
    2005-12-09 Includes\Trojans.sbi

    J'ai toujours command service et max search qui ne veulent pas partir... Et le scan panda online qui me trouve des virus (sans les supprimer) alors qu'Avast viens de terminer un scan complet sans rien trouver...

    Le formatage approche à grands pas...
    0
  13. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Bonsoir Pierrou,

    Remet un log hikackthis stp

    A+

    0
  14. pierrou
     
    Bonsoir Incognito02 et merci de m'aider ^^

    Voila un log Hijackthis sans avoir redemaré en mode sans echec.

    Logfile of HijackThis v1.99.1
    Scan saved at 18:52:10, on 16/12/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Sygate\SPF\smc.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\D-Tools\daemon.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\ALCWZRD.EXE
    C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
    C:\Program Files\ITE\ITE IT8212 ATA RAID Controller\RaidMgr.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Documents and Settings\pierrou.MAITREDU-B8MTG1\Bureau\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = google.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.fr
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = google.fr
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = google.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
    O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: RAID Manager.lnk = ?
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
    0
  15. pierrou
     
    En regardant mon log, j'ai remarqué cette ligne:

    C:\WINDOWS\Explorer.EXE

    Dans un autre post quelqu'un a indiqué que le .EXE en majuscules etait louche.

    C'est qu'a force je vais finir par comprendre ^^
    0
  16. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Re,

    Pour ton fichier, tu peux le tester ici :
    http://www.virustotal.com/xhtml/virustotal_en.html
    Clik sur parcourir
    Recherche Le fichier
    Clik send et colle le rapport ici

    Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :
    O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

    Précise tes soucis, si il en reste.

    A+
    0
  17. pierrou
     
    Ok. Le fichier est clean et la ligne fixée.

    Mais Spybot me trouve toujours Maxsearch et Command Service sans parvenir a les supprimer.

    Ce matin j'ai recu ca dans ma boite aux lettres:

    Amour-Travail-Informatique
    Le marabout Dontaccartvisa à la solution a tes problemes.
    Tel: 06.....

    Vous pensez que je devrai?

    Plus serieusement si j'arrive a relancer un scan panda je colle le rapport.
    0
  18. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Télécharge lopxp ici:

    http://pageperso.aol.fr/balltrap34/lopxp.zip (Merci Moe31 et Balltrap34)

    2) dezippe le (clic droit dessus > extraire tout)
    et lance lopxp.bat
    le bloc note va s'ouvrir, copie et colle le contenu ici

    A+
    0
  19. pierrou
     
    Merci encore ^^

    Voila le log:

    Rapport fait à 19:55:24,56 le 16/12/2005

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 803D-9D90

    R‚pertoire de C:\Documents and Settings\All Users\Application Data

    03/11/2005 04:05 62 desktop.ini
    03/11/2005 04:05 <REP> Microsoft
    03/11/2005 04:05 <REP> ..
    03/11/2005 04:05 <REP> .
    1 fichier(s) 62 octets
    3 R‚p(s) 16501727232 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 803D-9D90

    R‚pertoire de C:\Documents and Settings\All Users.WINDOWS\Application Data

    15/12/2005 17:05 <REP> Spybot - Search & Destroy
    14/12/2005 22:53 <REP> Adobe
    12/12/2005 23:39 <REP> CyberLink
    02/11/2005 23:34 62 desktop.ini
    02/11/2005 23:33 <REP> Microsoft
    02/11/2005 23:33 <REP> ..
    02/11/2005 23:33 <REP> .
    1 fichier(s) 62 octets
    6 R‚p(s) 16501723136 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 803D-9D90

    R‚pertoire de C:\Documents and Settings\Default User\Application Data

    03/11/2005 04:05 62 desktop.ini
    03/11/2005 04:05 <REP> ..
    03/11/2005 04:05 <REP> Microsoft
    03/11/2005 04:05 <REP> .
    1 fichier(s) 62 octets
    3 R‚p(s) 16501723136 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 803D-9D90

    R‚pertoire de C:\Documents and Settings\Default User.WINDOWS\Application Data

    02/11/2005 23:34 62 desktop.ini
    02/11/2005 23:33 <REP> ..
    02/11/2005 23:33 <REP> Microsoft
    02/11/2005 23:33 <REP> .
    1 fichier(s) 62 octets
    3 R‚p(s) 16501710848 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 803D-9D90

    R‚pertoire de C:\Documents and Settings\pierrou\Application Data

    02/11/2005 23:14 <REP> Identities
    02/11/2005 23:14 62 desktop.ini
    02/11/2005 23:14 <REP> ..
    02/11/2005 23:14 <REP> Microsoft
    02/11/2005 23:14 <REP> .
    1 fichier(s) 62 octets
    4 R‚p(s) 16501710848 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 803D-9D90

    R‚pertoire de C:\Documents and Settings\pierrou.MAITREDU-B8MTG1\Application Data

    15/12/2005 21:25 <REP> Trend Micro
    15/12/2005 18:17 <REP> Help
    14/12/2005 23:43 <REP> Lavasoft
    14/12/2005 23:09 <REP> Macromedia
    14/12/2005 23:07 <REP> Mozilla
    14/12/2005 22:53 <REP> AdobeUM
    14/12/2005 22:53 <REP> Adobe
    12/12/2005 23:40 <REP> CyberLink
    20/11/2005 02:10 <REP> dvdcss
    02/11/2005 23:52 <REP> ATI
    02/11/2005 23:43 <REP> Identities
    02/11/2005 23:43 62 desktop.ini
    02/11/2005 23:43 <REP> ..
    02/11/2005 23:43 <REP> .
    02/11/2005 23:43 <REP> Microsoft
    1 fichier(s) 62 octets
    14 R‚p(s) 16501710848 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 803D-9D90

    R‚pertoire de C:\Documents and Settings\pierroux\Application Data

    02/11/2005 21:43 <REP> ATI
    02/11/2005 21:22 <REP> Identities
    02/11/2005 21:22 62 desktop.ini
    02/11/2005 21:22 <REP> ..
    02/11/2005 21:22 <REP> Microsoft
    02/11/2005 21:22 <REP> .
    1 fichier(s) 62 octets
    5 R‚p(s) 16501710848 octets libres
    ******************************************
    Recherche des taches planifiées dans C:\WINDOWS\tasks

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 803D-9D90

    R‚pertoire de C:\WINDOWS\Tasks

    02/11/2005 23:39 6 SA.DAT
    02/11/2005 23:38 65 desktop.ini
    02/11/2005 21:17 <REP> ..
    02/11/2005 21:17 <REP> .
    2 fichier(s) 71 octets
    2 R‚p(s) 16ÿ501ÿ706ÿ752 octets libres

    ******************************************
    Recherche dans Program files

    Le dossier C:\Program Files\C2Media n'existe pas

    *************** Fin du rapport ****************
    0
  • 1
  • 2