Sujet Précédent Sujet Suivant

[Virus] Shopnav + Pb virus sur windows XP

Fermé
Karine - 31 juil. 2006 à 09:09
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 - 8 oct. 2006 à 19:43
Bonjour,

J'ai actuellement quelques souscis avec mon PC (Windows XP).

Tout d'abord, un "mouchard" qui m'empêche de naviguer sur Internet. Quelque soit le site que je demande, je tombe sur une autre page avec le message serveur indisponible.
Voici ce qui s'affiche au niveau de l'adresse du site :
http://badurl.shopnav.com/url.cgi?uid=10856920&version=1.20031&url=http://wanadoo.fr
J'ai lancé Spybot, Adaware mais rien n'y fait. Spybot détecte bien Shopnav, je corrige mais il reste actif.


Ensuite, et comme beaucoup, plusieurs virus sont présents sur mon PC : win32Trojan-gen{other}, win32:Keenval[Adw], win32:Trojan-gen{VC}, win32:Dialer-336[Trj],win32:Adware-gen[Adw]. J'ai lancé hijackthis, voici la log :

Logfile of HijackThis v1.99.1
Scan saved at 17:55:09, on 24/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\Demon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\System32\ciodm821.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\OFFICE ONE6.0\OFFICE One PDF Manager v6\OoPDFSettingsv6.exe
C:\Program Files\OFFICE ONE6.0\OFFICE One Notes v6\OFFICEOneNotesv6.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\OFFICE ONE6.0\program\soffice.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\KARINE\Mes documents\Protection\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Band Class - {00027925-0017-4faf-9539-90E4AC0B9EC5} - C:\WINDOWS\eltt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet7_22.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {911A1534-8E65-448E-92AE-E22D49F870C4} - (no file)
O2 - BHO: PEDEV_IEListener Class - {E1412445-4FF8-410e-8D24-F2CF86B171A4} - C:\Program Files\PeDevice\PeDev.dll
O3 - Toolbar: (no name) - {2CDE1A7D-A478-4291-BF31-E1B4C16F92EB} - (no file)
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [KAZAA] C:\Program Files\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [4206a213aaa1] C:\WINDOWS\System32\ciodm821.exe
O4 - HKLM\..\Run: [smanp] C:\DOCUME~1\KARINE\LOCALS~1\Temp\appB.tmp
O4 - HKLM\..\Run: [TopSearch] C:\Program Files\TopSearch\TopSearch.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [oov6multiuser.exe] C:\program files\OFFICE One6.0\program\oov6multiuser.exe
O4 - HKLM\..\Run: [OoPDFSettingsv6.exe] C:\Program Files\OFFICE ONE6.0\OFFICE One PDF Manager v6\OoPDFSettingsv6.exe
O4 - HKLM\..\Run: [OFFICEOneNotesv6.exe] C:\Program Files\OFFICE ONE6.0\OFFICE One Notes v6\OFFICEOneNotesv6.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: OFFICE One 6.0.lnk = C:\Program Files\OFFICE ONE6.0\program\quickstart.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O10 - Broken Internet access because of LSP provider 'c:\program files\newdotnet\newdotnet7_22.dll' missing
O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Y aurait'il une bonne âme pour me venir en aide ?
Je ne suis pas experte, aussi merci d'avance de votre aide.

Karine.
A voir également:

58 réponses

Précédent
Réponse 21 / 58
Karine
11 août 2006 à 11:45
Pour Kazaa, dans CCleaner, menu Outils, je sélectionne Bureau Médias de Kazaa 2.0.2 et demande à désinstaller. J'ai le message suivant :
Erreur de chargement de C:\WINDOWS\System32\cd_clint.dll Le module spécifié est introuvable.

Je crois que j'ai déjà désinstallé Kazaa mais dans le menu Démarrer/tous les programmes, il apparaît toujours.

A +.
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
11 août 2006 à 14:15
Salut Karine,
Peut-être suffit-il de télécharger cette DLL manquante et de la copier/coller à son emplacement dont tu as le chemin ; et recommencer la désinstallation.
Voici où tu peux récupérer cett DLL < https://www.dll-files.com/cd_clint.dll.html >
Voir ensuite des plus spécialistes que moi.
Bonne continuation.
0
Réponse 22 / 58
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 275
11 août 2006 à 11:56
Slt,

Regarde dans

Démarrer
Tous les programmes
rechercher
.............

Tu supprimes tout

Si blèmes fait le nous savoir

A++
0
Réponse 23 / 58
Karine
11 août 2006 à 12:01
C'est fait, j'ai toujours un répertoire Kazaa dans C:\Program files.
Dois-je le supprimer également ?
0
Réponse 24 / 58
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 275
11 août 2006 à 12:09
Faut plus de trace
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 58
Karine
11 août 2006 à 12:11
Qu'appelles tu trace ?
0
Réponse 26 / 58
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 275
11 août 2006 à 12:16
Plus de Kazaa sur ton PC
0
Réponse 27 / 58
Karine
11 août 2006 à 12:29
Je supprime donc le répertoire ? C'est pas brutal comme méthode ?
0
Réponse 28 / 58
Karine
11 août 2006 à 12:39
J'ai récupéré l'utilitaire Kazaabegone via le lien que tu m'as indiqué et j'ai supprimé tout ce qui concerne Kazaa.

J'ai toujours le message TopSearch.dll introuvable en démarrant mon PC.
0
Réponse 29 / 58
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
11 août 2006 à 15:43
Salut

Pour info, la version de spybot est ancienne (1.3)
Il serait preferable de le desinstaller et de mettre ceci

Spybot S&D 1.4
https://www.safer-networking.org/

Démo d’utilisation (merci à Balltrap34 pour cette réalisation).
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

a+
0
Réponse 30 / 58
Karine
12 août 2006 à 10:52
OK, je vais l'installer et relancer un scan.
Je vous transmet les rapports lundi car je pars en week-end.

Finalement, je n'ai plus la fenêtre sur TopSearch.dll manquante.

A lundi.
0
Réponse 31 / 58
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
12 août 2006 à 11:56
Salut Karine
CARPE DIEM
;)
0
Réponse 32 / 58
Karine
16 août 2006 à 18:51
Bonjour à tous,

Me revoilà.
J'ai installé la version 1.4 de Spybot et relancé un scan, voici le résultat :

FatPickle: Page Web (Fichier, fixed)
C:\WINDOWS\system32\Searchx.htm

ADS-Remover: Réglages (Clé du registre, fixed)
HKEY_USERS\S-1-5-21-602414446-1397737051-2654145001-1005\Software\Microsoft\Windows\AAR

KeenValue.eUniverse.MyFreeCursors: Dossier Programme (Répertoire, fixed)
C:\Program Files\Common files\updater\

NewDotNet: Fichier journal (Fichier, nothing done)
c:\debuglog.txt

NewDotNet: Réglages utilisateur (Clé du registre, nothing done)
HKEY_USERS\.DEFAULT\Software\new.net

NewDotNet: Réglages utilisateur (Clé du registre, nothing done)
HKEY_USERS\S-1-5-21-602414446-1397737051-2654145001-1005\Software\new.net

NewDotNet: Réglages utilisateur (Clé du registre, nothing done)
HKEY_USERS\S-1-5-18\Software\new.net

Delfin Project: Réglages (Clé du registre, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\smanp

Delfin Project: Dossier temporaire (Répertoire, fixed)
C:\Documents and Settings\KARINE\Local Settings\Temp\~wmvtmp1\

Delfin Project: Fichier de configuration (Fichier, fixed)
C:\LSWMV.INI

Delfin Project: Réglages désinstallation (Clé du registre, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebDP

Delfin Project: Réglages (Clé du registre, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\WebDP

Delfin Project: Dossier Programme (Répertoire, fixed)
C:\Documents and Settings\All Users\Application Data\nfo\

Delfin Project: Dossier Programme (Répertoire, fixed)
C:\WINDOWS\system32\nfomon\

Delfin Project: Dossier Programme (Répertoire, fixed)
C:\WINDOWS\system32\vidmon\

Delfin Project: Réglages (Clé du registre, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Imon

Delfin Project: Réglages utilisateur (Clé du registre, fixed)
HKEY_USERS\S-1-5-21-602414446-1397737051-2654145001-1005\Software\Imon

Delfin Project: Réglages utilisateur (Clé du registre, fixed)
HKEY_USERS\S-1-5-21-602414446-1397737051-2654145001-1005\Software\vidmon

Delfin Project: Réglages (Clé du registre, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\vidmon

Delfin Project: Dossier Programme (Répertoire, fixed)
C:\Documents and Settings\All Users\Application Data\vidmon\

Delfin Project: Donnée (Fichier, fixed)
C:\Program Files\Common Files\remove_tools.html

DownloadWare.SED: Réglages désinstallation (Clé du registre, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Recommended Hotfix - 421701D


--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2006-08-16 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2006-02-06 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2006-02-20 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2006-08-11 Includes\Cookies.sbi (*)
2006-08-11 Includes\Dialer.sbi (*)
2006-08-11 Includes\Hijackers.sbi (*)
2006-08-11 Includes\Keyloggers.sbi (*)
2006-08-11 Includes\Malware.sbi (*)
2006-08-11 Includes\PUPS.sbi (*)
2006-08-11 Includes\Revision.sbi (*)
2006-08-11 Includes\Security.sbi (*)
2006-08-11 Includes\Spybots.sbi (*)
2005-02-17 Includes\Tracks.uti
2006-08-11 Includes\Trojans.sbi (*)


Il me trouve NewDotNet. J'ai donc lancé l'utilitaire FxNdotN.exe mais lui ne le trouve pas. Cela me laisse à penser que je suis bien débarassée de ce p**** de NewDotNet (enfin j'espère).


J'ai également effectué un scan par Adaware :


Ad-Aware SE Build 1.06r1
Logfile Created on:mercredi 16 août 2006 18:29:33
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R119 15.08.2006
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
GetMirar(TAC index:8):2 total references
ImIServer IEPlugin(TAC index:5):22 total references
MRU List(TAC index:0):7 total references
Tracking Cookie(TAC index:3):5 total references
Win32.TrojanClicker(TAC index:10):2 total references
Win32.TrojanDownloader.Delf(TAC index:10):4 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


16-08-2006 18:29:33 - Scan started. (Full System Scan)

MRU List Object Recognized!
Location: : C:\Documents and Settings\KARINE\recent
Description : list of recently opened documents


MRU List Object Recognized!
Location: : software\microsoft\directdraw\mostrecentapplication
Description : most recent application to use microsoft directdraw


MRU List Object Recognized!
Location: : S-1-5-21-602414446-1397737051-2654145001-1005\software\microsoft\internet explorer\main
Description : last save directory used in microsoft internet explorer


MRU List Object Recognized!
Location: : S-1-5-21-602414446-1397737051-2654145001-1005\software\microsoft\internet explorer\typedurls
Description : list of recently entered addresses in microsoft internet explorer


MRU List Object Recognized!
Location: : S-1-5-21-602414446-1397737051-2654145001-1005\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
Description : list of recent programs opened


MRU List Object Recognized!
Location: : S-1-5-21-602414446-1397737051-2654145001-1005\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
Description : list of recently saved files, stored according to file extension


MRU List Object Recognized!
Location: : S-1-5-21-602414446-1397737051-2654145001-1005\software\microsoft\windows\currentversion\explorer\recentdocs
Description : list of recent documents opened


Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 424
ThreadCreationTime : 16-08-2006 15:46:12
BasePriority : Normal


#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 472
ThreadCreationTime : 16-08-2006 15:46:13
BasePriority : Normal


#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 496
ThreadCreationTime : 16-08-2006 15:46:14
BasePriority : High


#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 540
ThreadCreationTime : 16-08-2006 15:46:15
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Système d'exploitation Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Applications Services et Contrôleur
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Tous droits réservés.
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 552
ThreadCreationTime : 16-08-2006 15:46:15
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 724
ThreadCreationTime : 16-08-2006 15:46:15
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 772
ThreadCreationTime : 16-08-2006 15:46:16
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 808
ThreadCreationTime : 16-08-2006 15:46:16
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:9 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 848
ThreadCreationTime : 16-08-2006 15:46:16
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:10 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 928
ThreadCreationTime : 16-08-2006 15:46:17
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:11 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 1120
ThreadCreationTime : 16-08-2006 15:46:20
BasePriority : Normal
FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 6.00.2900.2180
ProductName : Système d'exploitation Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Explorateur Windows
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Tous droits réservés.
OriginalFilename : EXPLORER.EXE

#:12 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1196
ThreadCreationTime : 16-08-2006 15:46:20
BasePriority : Normal
FileVersion : 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)
ProductVersion : 5.1.2600.2696
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:13 [aswupdsv.exe]
FilePath : C:\Program Files\Alwil Software\Avast4\
ProcessID : 1324
ThreadCreationTime : 16-08-2006 15:46:21
BasePriority : Normal


#:14 [ashserv.exe]
FilePath : C:\Program Files\Alwil Software\Avast4\
ProcessID : 1336
ThreadCreationTime : 16-08-2006 15:46:21
BasePriority : High
FileVersion : 4, 7, 844, 0
ProductVersion : 4, 7, 0, 0
ProductName : avast! Antivirus
FileDescription : avast! antivirus service
InternalName : aswServ
LegalCopyright : Copyright (c) 2006 ALWIL Software
OriginalFilename : aswServ.exe

#:15 [ctsvccda.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1372
ThreadCreationTime : 16-08-2006 15:46:21
BasePriority : Normal
FileVersion : 1.0.1.0
ProductVersion : 1.0.0.0
ProductName : Creative Service for CDROM Access
CompanyName : Creative Technology Ltd
FileDescription : Creative Service for CDROM Access
InternalName : CTsvcCDAEXE
LegalCopyright : Copyright (c) Creative Technology Ltd., 1999. All rights reserved.
OriginalFilename : CTsvcCDA.EXE

#:16 [guard.exe]
FilePath : C:\Program Files\ewido anti-spyware 4.0\
ProcessID : 1404
ThreadCreationTime : 16-08-2006 15:46:21
BasePriority : Normal
FileVersion : 4, 0, 0, 172
ProductVersion : 4, 0, 0, 172
ProductName : ewido anti-spyware
CompanyName : Anti-Malware Development a.s.
FileDescription : ewido anti-spyware guard
InternalName : ewido anti-spywareguard
LegalCopyright : Copyright © 2005 Anti-Malware Development a.s.
OriginalFilename : guard.exe

#:17 [kpf4ss.exe]
FilePath : C:\Program Files\Sunbelt Software\Personal Firewall\
ProcessID : 1432
ThreadCreationTime : 16-08-2006 15:46:21
BasePriority : Normal
FileVersion : 4.3.268.0
ProductVersion : 4.3.268.0
ProductName : Sunbelt Kerio Personal Firewall
CompanyName : Sunbelt Software
FileDescription : Sunbelt Kerio Firewall Service
InternalName : kpf4ss.exe
LegalCopyright : Copyright © 2002-2005 Sunbelt Software. All rights reserved.
LegalTrademarks : SUNBELT SOFTWARE and the "S" logo are registered trademarks of Sunbelt Software. Sunbelt Kerio Personal Firewall and SKPF are trademarks of Sunbelt Software.
OriginalFilename : kpf4ss.exe

#:18 [nvsvc32.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1484
ThreadCreationTime : 16-08-2006 15:46:23
BasePriority : Normal
FileVersion : 6.13.10.4072
ProductVersion : 6.13.10.4072
ProductName : NVIDIA Driver Helper Service, Version 40.72
CompanyName : NVIDIA Corporation
FileDescription : NVIDIA Driver Helper Service, Version 40.72
InternalName : NVSVC
LegalCopyright : (C) NVIDIA Corporation. All rights reserved.
OriginalFilename : nvsvc32.exe

#:19 [wdfmgr.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1636
ThreadCreationTime : 16-08-2006 15:46:25
BasePriority : Normal
FileVersion : 5.2.3790.1230 built by: DNSRV(bld4act)
ProductVersion : 5.2.3790.1230
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Windows User Mode Driver Manager
InternalName : WdfMgr
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : WdfMgr.exe

#:20 [kpf4gui.exe]
FilePath : C:\Program Files\Sunbelt Software\Personal Firewall\
ProcessID : 1988
ThreadCreationTime : 16-08-2006 15:46:34
BasePriority : Normal
FileVersion : 4.3.268.0
ProductVersion : 4.3.268.0
ProductName : Sunbelt Kerio Personal Firewall
CompanyName : Sunbelt Software
FileDescription : Sunbelt Kerio Firewall GUI
InternalName : kpf4gui.exe
LegalCopyright : Copyright © 2002-2005 Sunbelt Software. All rights reserved.
LegalTrademarks : SUNBELT SOFTWARE and the "S" logo are registered trademarks of Sunbelt Software. Sunbelt Kerio Personal Firewall and SKPF are trademarks of Sunbelt Software.
OriginalFilename : kpf4gui.exe

#:21 [ashmaisv.exe]
FilePath : C:\Program Files\Alwil Software\Avast4\
ProcessID : 352
ThreadCreationTime : 16-08-2006 15:46:40
BasePriority : Normal


#:22 [ashwebsv.exe]
FilePath : C:\Program Files\Alwil Software\Avast4\
ProcessID : 292
ThreadCreationTime : 16-08-2006 15:46:40
BasePriority : Normal


#:23 [alg.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 468
ThreadCreationTime : 16-08-2006 15:46:41
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Application Layer Gateway Service
InternalName : ALG.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : ALG.exe

#:24 [kpf4gui.exe]
FilePath : C:\Program Files\Sunbelt Software\Personal Firewall\
ProcessID : 1004
ThreadCreationTime : 16-08-2006 15:46:45
BasePriority : Normal
FileVersion : 4.3.268.0
ProductVersion : 4.3.268.0
ProductName : Sunbelt Kerio Personal Firewall
CompanyName : Sunbelt Software
FileDescription : Sunbelt Kerio Firewall GUI
InternalName : kpf4gui.exe
LegalCopyright : Copyright © 2002-2005 Sunbelt Software. All rights reserved.
LegalTrademarks : SUNBELT SOFTWARE and the "S" logo are registered trademarks of Sunbelt Software. Sunbelt Kerio Personal Firewall and SKPF are trademarks of Sunbelt Software.
OriginalFilename : kpf4gui.exe

#:25 [soundman.exe]
FilePath : C:\WINDOWS\
ProcessID : 2192
ThreadCreationTime : 16-08-2006 15:46:47
BasePriority : Normal
FileVersion : 5.0.16
ProductVersion : 5.0.16
ProductName : Realtek Sound Manager
CompanyName : Realtek Semiconductor Corp.
FileDescription : Realtek Sound Manager
InternalName : ALSMTray
LegalCopyright : Copyright (c) 2001-2003 Realtek Semiconductor Corp.
OriginalFilename : ALSMTray.exe
Comments : Realtek AC97 Audio Sound Manager

#:26 [cnxmon.exe]
FilePath : C:\PROGRA~1\Wanadoo\
ProcessID : 2336
ThreadCreationTime : 16-08-2006 15:46:51
BasePriority : Normal
FileVersion : 1, 0, 0, 1
ProductVersion : 1, 0, 0, 1
ProductName : Application CnxMon
FileDescription : Application MFC CnxMon
InternalName : CnxMon
LegalCopyright : Copyright (C) 2001
OriginalFilename : CnxMon.EXE

#:27 [demon.exe]
FilePath : C:\PROGRA~1\MESSAG~1\
ProcessID : 2364
ThreadCreationTime : 16-08-2006 15:46:53
BasePriority : Normal
FileVersion : 3, 0, 20, 0
ProductVersion : 3, 0, 20, 0
ProductName : Demon Messager
CompanyName : France Telecom
FileDescription : Demon
InternalName : Demon
OriginalFilename : Demon.exe

#:28 [taskbaricon.exe]
FilePath : C:\PROGRA~1\Wanadoo\
ProcessID : 2400
ThreadCreationTime : 16-08-2006 15:46:55
BasePriority : Normal


#:29 [dragdiag.exe]
FilePath : C:\Program Files\Thomson\SpeedTouch USB\
ProcessID : 2408
ThreadCreationTime : 16-08-2006 15:46:55
BasePriority : Normal
FileVersion : 301.0.0.12
ProductVersion : 301.0.0.12
ProductName : SpeedTouch USB
CompanyName : THOMSON Telecom Belgium
FileDescription : SpeedTouch Statistics
LegalCopyright : Copyright© THOMSON Telecom Belgium 1999-2004
LegalTrademarks : SpeedTouch

#:30 [ashdisp.exe]
FilePath : C:\PROGRA~1\ALWILS~1\Avast4\
ProcessID : 2416
ThreadCreationTime : 16-08-2006 15:46:55
BasePriority : Normal
FileVersion : 5, 0, 0, 0
ProductVersion : 5, 0, 0, 0
ProductName : avast! Antivirus
FileDescription : avast! service GUI component
InternalName : aswDisp
LegalCopyright : Copyright (c) 2006 ALWIL Software
OriginalFilename : aswDisp.exe

#:31 [ewido.exe]
FilePath : C:\Program Files\ewido anti-spyware 4.0\
ProcessID : 2436
ThreadCreationTime : 16-08-2006 15:46:56
BasePriority : Normal
FileVersion : 4, 0, 0, 172
ProductVersion : 4, 0, 0, 172
ProductName : ewido anti-spyware
CompanyName : Anti-Malware Development a.s.
FileDescription : ewido anti-spyware
InternalName : ewido anti-spyware
LegalCopyright : Copyright © 2005 Anti-Malware Development a.s.
OriginalFilename : ewido.exe

#:32 [oopdfsettingsv6.exe]
FilePath : C:\Program Files\OFFICE ONE6.0\OFFICE One PDF Manager v6\
ProcessID : 2660
ThreadCreationTime : 16-08-2006 15:47:09
BasePriority : Normal
FileVersion : 6.0.5.0
ProductVersion : 6.0.3.0
ProductName : OFFICE One PDF Manager v6
CompanyName : ISSENDIS
FileDescription : OFFICE One PDF Manager v6
InternalName : OFFICE One PDF Manager v6
LegalCopyright : (c) 2002, ISSENDIS.
LegalTrademarks : ISSENDIS
OriginalFilename : OFFICE One PDF Manager v6
Comments : Gestion des modeles

#:33 [officeonenotesv6.exe]
FilePath : C:\Program Files\OFFICE ONE6.0\OFFICE One Notes v6\
ProcessID : 2680
ThreadCreationTime : 16-08-2006 15:47:11
BasePriority : Normal
FileVersion : 6.0.5.0
ProductVersion : 1.0.0.0
ProductName : OFFICE One Notes
CompanyName : ISSENDIS
FileDescription : OFFICE One Notes
InternalName : OFFICE One Notes
LegalCopyright : ISSENDIS

#:34 [ctfmon.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 2692
ThreadCreationTime : 16-08-2006 15:47:11
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : CTFMON.EXE

#:35 [ctdetect.exe]
FilePath : C:\Program Files\Creative\MediaSource\Detector\
ProcessID : 2700
ThreadCreationTime : 16-08-2006 15:47:13
BasePriority : Normal
FileVersion : 3.0.2.0
ProductVersion : 3.0.0.0
ProductName : Creative MediaSource Detector
CompanyName : Creative Technology Ltd
FileDescription : Creative MediaSource Detector
InternalName : CTDetect
LegalCopyright : Copyright (c) Creative Technology Ltd., 2003-2004. All rights reserved.
OriginalFilename : CTDetect.EXE

#:36 [wincinemamgr.exe]
FilePath : C:\Program Files\InterVideo\Common\Bin\
ProcessID : 2720
ThreadCreationTime : 16-08-2006 15:47:14
BasePriority : Normal
FileVersion : 1.0
ProductVersion : 1, 0, 0, 1
ProductName : WinCinema Manager for InterVideo WinCinema products
FileDescription : WinCinema Manager
InternalName : WinCinema Manager
LegalCopyright : Copyright (C) 2000 InterVideo Inc.
OriginalFilename : WinCinemaMgr.EXE

#:37 [osa.exe]
FilePath : C:\Program Files\Microsoft Office\Office\
ProcessID : 2740
ThreadCreationTime : 16-08-2006 15:47:16
BasePriority : Normal


#:38 [findfast.exe]
FilePath : C:\Program Files\Microsoft Office\Office\
ProcessID : 2748
ThreadCreationTime : 16-08-2006 15:47:17
BasePriority : Normal
FileVersion : 8.0
ProductVersion : 8.0
ProductName : Microsoft® Recherche accélérée
CompanyName : Microsoft Corporation
FileDescription : Microsoft Recherche accélérée
InternalName : FINDFAST
LegalCopyright : Copyright © 1995-1997 Microsoft Corporation
OriginalFilename : FINDFAST.EXE

#:39 [soffice.exe]
FilePath : C:\Program Files\OFFICE ONE6.0\program\
ProcessID : 2780
ThreadCreationTime : 16-08-2006 15:47:19
BasePriority : Normal
FileVersion : 6.00.7663
ProductVersion : 6.00.7663
CompanyName : Sun Microsystems, Inc.
FileDescription : OFFICE One 6.0
InternalName : SOFFICE
LegalCopyright : Copyright © 2000 by Sun Microsystems, Inc.
OriginalFilename : SOFFICE.EXE

#:40 [wuauclt.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 2948
ThreadCreationTime : 16-08-2006 15:48:04
BasePriority : Normal
FileVersion : 5.8.0.2469 built by: lab01_n(wmbla)
ProductVersion : 5.8.0.2469
ProductName : Système d'exploitation Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Mises à jour automatiques
InternalName : wuauclt.exe
LegalCopyright : © Microsoft Corporation. Tous droits réservés.
OriginalFilename : wuauclt.exe

#:41 [espacewanadoo.exe]
FilePath : C:\Program Files\Wanadoo\
ProcessID : 3288
ThreadCreationTime : 16-08-2006 15:53:20
BasePriority : Normal
FileVersion : 5.7 (248)
ProductVersion : 5.7 (248)
ProductName : Kit de Connexion et de Services
CompanyName : France Télécom R&D
FileDescription : Espace Client
InternalName : EspaceClient
LegalCopyright : Copyright (C) France Télécom R&D 1999-2003
OriginalFilename : EspaceClient.exe

#:42 [comcomp.exe]
FilePath : C:\Program Files\Wanadoo\
ProcessID : 3300
ThreadCreationTime : 16-08-2006 15:53:22
BasePriority : Normal
FileVersion : 9.0 (517)
ProductVersion : 9.0 (517)
ProductName : Kit de Connexion et de Services
CompanyName : France Télécom R&D
FileDescription : Module de communication
InternalName : ComComp
LegalCopyright : Copyright (C) France Télécom R&D 1999-2003
OriginalFilename : ComComp.exe

#:43 [watch.exe]
FilePath : C:\Program Files\Wanadoo\
ProcessID : 3392
ThreadCreationTime : 16-08-2006 15:53:26
BasePriority : Normal
FileVersion : 9.0 (102)
ProductVersion : 9.0 (102)
ProductName : Kit de Connexion et de Services
CompanyName : France Télécom R&D
FileDescription : Surveillance des modifications
InternalName : Watch
LegalCopyright : Copyright (C) France Télécom R&D 1999-2003
OriginalFilename : Watch.exe

#:44 [ad-aware.exe]
FilePath : C:\Program Files\Lavasoft\Ad-Aware SE Personal\
ProcessID : 1924
ThreadCreationTime : 16-08-2006 16:28:07
BasePriority : Normal
FileVersion : 6.2.0.236
ProductVersion : SE 106
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft AB Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 7


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

GetMirar Object Recognized!
Type : Regkey
Data :
TAC Rating : 8
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : clsid\{9a9c9b69-f908-4aab-8d0c-10ea8997f37e}

ImIServer IEPlugin Object Recognized!
Type : Regkey
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : clsid\{5e0910c6-9e45-481c-a2ec-0ec29c96ebeb}

ImIServer IEPlugin Object Recognized!
Type : Regkey
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : clsid\{79406f24-8e95-4af8-9fef-2ea2b504e707}

ImIServer IEPlugin Object Recognized!
Type : Regkey
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : clsid\{8f7d96aa-489a-4194-ab34-21ef42507932}

ImIServer IEPlugin Object Recognized!
Type : Regkey
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : clsid\{b424e2aa-4466-41ca-8194-5a83995a9b15}

ImIServer IEPlugin Object Recognized!
Type : Regkey
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : interface\{22cacae9-c999-4695-b47b-b2f092bdf84a}

ImIServer IEPlugin Object Recognized!
Type : Regkey
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : interface\{45da4f3d-2379-45d6-b5c5-c41d33536bc6}

ImIServer IEPlugin Object Recognized!
Type : Regkey
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : interface\{783ed36e-fa7e-4d4f-9f15-9d1431668c32}

ImIServer IEPlugin Object Recognized!
Type : Regkey
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : interface\{8e0c73cc-54be-4c32-b6ad-8e6e3427c119}

ImIServer IEPlugin Object Recognized!
Type : Regkey
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : interface\{c2ea0488-e1b4-4403-ae40-ef4849269a69}

ImIServer IEPlugin Object Recognized!
Type : Regkey
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : interface\{e45c1548-4bd7-404b-830b-f47c1354fe60}

ImIServer IEPlugin Object Recognized!
Type : Regkey
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : typelib\{46bd3f46-6e46-43d2-a69d-fd8c05044475}

Win32.TrojanClicker Object Recognized!
Type : Regkey
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : clsid\{54645654-2225-4455-44a1-9f4543d34545}

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 13
Objects found so far: 20


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 20


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking Cookie Object Recognized!
Type : IECache Entry
Data : karine@weborama[1].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:16
Value : Cookie:karine@weborama.fr/
Expires : 17-10-2006 17:41:02
LastSync : Hits:16
UseCount : 0
Hits : 16

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : karine@247realmedia[2].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:16
Value : Cookie:karine@247realmedia.com/
Expires : 01-01-2021 02:00:00
LastSync : Hits:16
UseCount : 0
Hits : 16

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : karine@estat[1].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:4
Value : Cookie:karine@estat.com/
Expires : 07-08-2016 13:09:28
LastSync : Hits:4
UseCount : 0
Hits : 4

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : karine@www.smartadserver[1].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:18
Value : Cookie:karine@www.smartadserver.com/
Expires : 05-08-2026 13:10:10
LastSync : Hits:18
UseCount : 0
Hits : 18

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : karine@bluestreak[2].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:4
Value : Cookie:karine@bluestreak.com/
Expires : 07-08-2016 06:27:02
LastSync : Hits:4
UseCount : 0
Hits : 4

Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 5
Objects found so far: 25



Deep scanning and examining files (C:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Win32.TrojanDownloader.Delf Object Recognized!
Type : File
Data : Downloader.exe
TAC Rating : 10
Category : Malware
Comment :
Object : C:\Program Files\PeDevice\



Win32.TrojanDownloader.Delf Object Recognized!
Type : File
Data : Preparation.dll
TAC Rating : 10
Category : Malware
Comment :
Object : C:\Program Files\PeDevice\



Disk Scan Result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 27


Scanning Hosts file......
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New critical objects:0
Objects found so far: 27




Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

GetMirar Object Recognized!
Type : Regkey
Data :
TAC Rating : 8
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com

ImIServer IEPlugin Object Recognized!
Type : Regkey
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : remove

ImIServer IEPlugin Object Recognized!
Type : Regkey
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : snb.band

ImIServer IEPlugin Object Recognized!
Type : Regkey
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : snb.band.1

ImIServer IEPlugin Object Recognized!
Type : Regkey
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : sntb.bottomframe

ImIServer IEPlugin Object Recognized!
Type : Regkey
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : sntb.bottomframe.1

ImIServer IEPlugin Object Recognized!
Type : Regkey
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : sntb.leftframe

ImIServer IEPlugin Object Recognized!
Type : Regkey
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : sntb.leftframe.1

ImIServer IEPlugin Object Recognized!
Type : Regkey
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : sntb.popupbrowser

ImIServer IEPlugin Object Recognized!
Type : Regkey
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : sntb.popupbrowser.1

ImIServer IEPlugin Object Recognized!
Type : Regkey
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : sntb.popupwindow

ImIServer IEPlugin Object Recognized!
Type : Regkey
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : sntb.popupwindow.1

Win32.TrojanClicker Object Recognized!
Type : RegData
Data : c:\windows\system32\userinit.exe,
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows nt\currentversion\winlogon
Value : Userinit
Data : c:\windows\system32\userinit.exe,

Win32.TrojanDownloader.Delf Object Recognized!
Type : Regkey
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\windows\currentversion\internet settings\zonemap\domains\coolwebsearch.com

Win32.TrojanDownloader.Delf Object Recognized!
Type : Regkey
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\windows\currentversion\internet settings\zonemap\domains\searchmeup.com

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 15
Objects found so far: 42

18:37:54 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:08:20.843
Objects scanned:123688
Objects identified:35
Objects ignored:0
New critical objects:35


Voilà, suis-je tranquille maintenant ou y a t'il encore des mauvaises surprises sur mon PC ?

Pour info, j'ai installé Kério à la place de ZoneAlarme.
0
Réponse 33 / 58
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
16 août 2006 à 21:20
Bonsoir Karine,

Si tu as des doutes sur NewDotNet, voici des marches à suivre :
1)- < infecte par newdotnet >
2)- < espion infecte par newdotnet > ( Avec utilisation de Spybot S&D )
3)- A lire IMPORTANT : < http://entraide.aceboard.fr/175280-1992-3434-0-vous-etes-infecte-NewDoNet.htm > ====> (suis le poste de moe ).

Et quand tu auras testé ces liens, refais un HJT en mode normal.
Bonne soirée.
0
Réponse 34 / 58
Karine
17 août 2006 à 18:54
Bonsoir,

J'ai fait un hijackthis, voici le résultat :

Logfile of HijackThis v1.99.1
Scan saved at 18:53:01, on 17/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\Demon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\OFFICE ONE6.0\OFFICE One PDF Manager v6\OoPDFSettingsv6.exe
C:\Program Files\OFFICE ONE6.0\OFFICE One Notes v6\OFFICEOneNotesv6.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\OFFICE ONE6.0\program\soffice.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\KARINE\Mes documents\Protection\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [smanp] C:\DOCUME~1\KARINE\LOCALS~1\Temp\appB.tmp
O4 - HKLM\..\Run: [TopSearch] C:\Program Files\TopSearch\TopSearch.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [oov6multiuser.exe] C:\program files\OFFICE One6.0\program\oov6multiuser.exe
O4 - HKLM\..\Run: [OoPDFSettingsv6.exe] C:\Program Files\OFFICE ONE6.0\OFFICE One PDF Manager v6\OoPDFSettingsv6.exe
O4 - HKLM\..\Run: [OFFICEOneNotesv6.exe] C:\Program Files\OFFICE ONE6.0\OFFICE One Notes v6\OFFICEOneNotesv6.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: OFFICE One 6.0.lnk = C:\Program Files\OFFICE ONE6.0\program\quickstart.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{A07DCAAB-834D-443B-A46B-A125F4BC3C78}: NameServer = 80.10.246.1 80.10.246.132
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

A +.
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
17 août 2006 à 23:12
Bonsoir Karine


1)- J'ai un doute sur ces lignes ( bien quelles sembles légitimes ) ; attendre d'autres conseils plus avertis .
O4 - HKLM\..\Run: [smanp] C:\DOCUME~1\KARINE\LOCALS~1\Temp\appB.tmp
O4 - HKLM\..\Run: [OFFICEOneNotesv6.exe] C:\Program Files\OFFICE ONE6.0\OFFICE One Notes v6\OFFICEOneNotesv6.exe
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: OFFICE One 6.0.lnk = C:\Program Files\OFFICE ONE6.0\program\quickstart.exe

2)- Par contre ceci est une saloperie : TopSearch X TopSearch.exe TopSearch adware variant :
O4 - HKLM\..\Run: [TopSearch] C:\Program Files\TopSearch\TopSearch.exe
•- Tu relances HJT, et tu fixes cette 04.
•- Ensuite:
• Affiche les fichiers cachés ( Démarrer>Panneau de Configuration>Options des Dossiers>Onglet Affichage> "coche la case afficher les fichiers et dossiers cachés" et un peu plus bas sur cette page, "décoche la case Masquer les extensions des fichiers dont le type est connu", et décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
• Désactive la Restauration Système
• Mets à jour Spybot S&D.
•Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
• Recherche et supprime ceci: Attention seulement le fichier (si présent). C:\Program Files\TopSearch\TopSearch.exe
•Passe Spybot et corrige tout ce qu’il trouve + vaccine + supprime les quarantaines…
•Vide ta Corbeille.
•Redémarre en mode normal, relance Hijackthis et copie/colle un nouveau rapport sur le forum.
•Réactive la Restauration Système.

Bonne chance
Je serai absent pour la suite; désolé.
0
Utilisateur anonyme > afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022
17 août 2006 à 23:19
Salut Afi :-)

J'espère que tu vas bien.

Un petit coucou de passage, je prendrai la suite de ton post si la personne y repond ;-)

A plus tard
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602 > Utilisateur anonyme
18 août 2006 à 10:49
Salut Boulepate

Heureux de te lire , et merci pour le "relais".

Comment s'est déroulé ton "déménagement" ? ---> Mail.
Non, je ne suis pas au mieux; j'avance doucement vers le cimetière des éléphants; il y a des choses contre lesquelles on ne peut rien.

Mon PC a été "lessivé", et jusqu'à présent les soucis me sont épargnés; principalement, j'ai supprimé ZA Pro et installé Kaspersky Internet Security 6.0 ; de même que la plupart des "utilitaires" sauf CCleaner et Silent Runners. ( j'attends la suite du tuto d'Olivier sur l'Entraide d'Aceboard < http://entraide.aceboard.fr/175280-2008-1164-0-Pocket-Killbox.htm > pour réinstaller PocketKillbox )

Bonne journée à toi.
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602 > Utilisateur anonyme
19 août 2006 à 09:14
Karine
En vitesse, je te propose une autre vision d'approche du problème.

Avant tout -
Il serait temps de respecter ceci:« 4- Ton HJT ( HijackThis ) n'est pas téléchargé à l'emplacement recommandé par les Helpers; il faudrait que tu le réinstalles en C:\Program Files au lieu de ton sous-dossier "secu ordi". »
En effet: « HJT doit être enregistré dans un répertoire dédié tel que C:\HijackThis et pas dans un dossier de fichiers temporaires susceptibles d’être vidé de son contenu.
Pourquoi ? Parce qu’HijackThis crée des sauvegardes - appelées "back up"- des lignes fixées dans HijackThis ! Ainsi, en cas de mauvaise fixation, il est tout à fait possible de les restaurer ! Mais à condition que HJT ne soit pas enregistré dans un endroit temporaire.

Et aussi, « Un hijack this en mode sans échec, n'a aucune valeur, on n'y voit rien ».
Pourquoi ? Parce qu'en mode sans échec tu n'as que ce qui est vital qui est demarré; donc on ne voit rien si tu fais ton scan hijack en sans echec » ..... .... et c'est aussi pourquoi, il faut faire toutes les mises à jour avant de passer en mode sans échec.

Maintenant:

1°- Exécute HJT et clique sur Open the misc tools sections -> open Uninstall manager -> clique sur "Save list" -> enregistre le fichier -> fais-en un copier/coller ici.

2° -Ensuite on va modifier la base de registres pour éliminer les lignes liées a l'infection !
Lancer HijackThis, (scan only ou scanner seulement) cocher/fixer les lignes suivantes si présentes:
O4 - HKLM\..\Run: [TopSearch] C:\Program Files\TopSearch\TopSearch.exe

3°- Télécharge la dernière version de Killbox -> http://www.downloads.subratam.org/KillBox.zip
Place le programme dans le répertoire qui te plaît (pas d'installation Windows)

- redémarre l'ordinateur en mode sans échec

- lance Pocket Killbox
--- choisis l'option Delete on Reboot
--- copie la liste ci-dessous, des fichiers à supprimer (Ctrl-C) et File / Paste from Clipboard
O4 - HKLM\..\Run: [TopSearch] C:\Program Files\TopSearch\TopSearch.exe

* les boutons "Single File" et "All Files" deviennent actifs mais "Single File" est activé par défaut.
Il faut alors impérativement activer (cliquer sur) "All Files", impérativement, sinon seul le premier de la liste sera supprimé.
--- vérifie que tous les fichiers sont enregistrés, par la liste déroulante "Full Path of File to Delete"
--- clique sur la croix blanche sur fond rouge (Delete File) :

- "File will be Removed on Reboot, Do you want to reboot now?", réponds OUI si tu es prêt à procéder

Si Pocket KillBox ne fait pas redémarrer le PC, redémarre le toi même.

Tu pourras trouver un tutorial complet et détaillé par Jesses : http://perso.wanadoo.fr/jesses/Docs/Logiciels/KillBox.htm
..et un autre de Moe ( sur l'Entraide ) < http://entraide.aceboard.fr/175280-2008-1164-0-Pocket-Killbox.htm >

4°- Ensuite fais ceci :
Clique sur démarrer/executer/
Copie/colle
Rentre le chemin indiqué C:\Program Files\TopSearch
Le dossier va s'ouvrir: donne nous la liste des fichiers présents dans le dossier !
Reviens dessus (clique droit /supprimer)

Si cela ne fonctionne pas redémarre en mode sans échec et réessaie
Si cela ne fonctionne toujours pas donne nous la liste des fichiers présents dans le dossier !

5°- Ensuite fais ceci STP
Fais un rapport hijackthis et colle le rapport sur le forum !

Allez ! Au boulot !
;)
0
Réponse 35 / 58
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
19 août 2006 à 12:07
Salut afideg,

Avec kill box, tu dois afficher que le chemin cible et non le chemin de Hijackthis.
C'est a dire ceci: C:\Program Files\TopSearch\TopSearch.exe

Bon week end.
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
19 août 2006 à 15:14
Salut Régis59
OK, bien vu
J'ai voulu faire vite ( obligé ); c'est souvent une erreur.

( J'ose espérer que Karine puisse faire la correction lors de sa manip. ; à savoir qu'elle ne doit pas copier " O4 - HKLM\..\Run: [TopSearch] " , mais uniquement " C:\Program Files\TopSearch\TopSearch.exe " )

Quant à la méthode recommandée, en l'absence d'autre commentaire, cela voudrait dire qu'elle est correcte. SVP.

Merci à toi Amigo.
;)

PS: Est-ce possible que tu demandes à un modérateur la correction de la ligne litigieuse SVP ? Merci
0
Réponse 36 / 58
Karine
19 août 2006 à 15:41
Bonjour afideg,

Sur tes conseils, j'ai créé un répertoire C:\Program Files\HijackThis.

Voici les résultats des différentes manipulations :
1) " Exécute HJT et clique sur Open the misc tools sections -> open Uninstall manager -> clique sur "Save list" -> enregistre le fichier -> fais-en un copier/coller ici."

Ad-Aware SE Personal
Adobe Acrobat 4.0
Adobe Acrobat 5.0
Appswebservice.com Search Assistant
avast! Antivirus
BM Win app
Brokeback Mountain Screensaver
CCleaner (remove only)
CDex extraction audio
Correctif Windows XP - KB873333
Correctif Windows XP - KB873339
Correctif Windows XP - KB885250
Correctif Windows XP - KB885835
Correctif Windows XP - KB885836
Correctif Windows XP - KB886185
Correctif Windows XP - KB887472
Correctif Windows XP - KB887742
Correctif Windows XP - KB888113
Correctif Windows XP - KB888302
Correctif Windows XP - KB890047
Correctif Windows XP - KB890175
Correctif Windows XP - KB890859
Correctif Windows XP - KB890923
Correctif Windows XP - KB891781
Correctif Windows XP - KB893066
Correctif Windows XP - KB893086
Creative MediaSource
Creative MuVo N200
Creative System Information
Enhanced search
ewido anti-spyware 4.0
Help Features
Help Finder
HijackThis 1.99.1
IE Host
IE Win-enhancer
InterVideo WinDVD 4
Kit Club-Internet V5
Lecteur Windows Media 10
LiveReg (Symantec Corporation)
LiveUpdate 1.6 (Symantec Corporation)
Macromedia Flash Player 8
MaxSpeed
MediaLoads
Messager Wanadoo
Microsoft .NET Framework (French) v1.0.3705
Microsoft Office 97 Professional
Mise à jour de sécurité pour Lecteur Windows Media (KB911564)
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB911565)
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB917734)
Mise à jour de sécurité pour Step by Step Interactive Training (KB898458)
Mise à jour de sécurité pour Windows XP (KB883939)
Mise à jour de sécurité pour Windows XP (KB890046)
Mise à jour de sécurité pour Windows XP (KB893756)
Mise à jour de sécurité pour Windows XP (KB896358)
Mise à jour de sécurité pour Windows XP (KB896422)
Mise à jour de sécurité pour Windows XP (KB896423)
Mise à jour de sécurité pour Windows XP (KB896424)
Mise à jour de sécurité pour Windows XP (KB896428)
Mise à jour de sécurité pour Windows XP (KB896688)
Mise à jour de sécurité pour Windows XP (KB899587)
Mise à jour de sécurité pour Windows XP (KB899588)
Mise à jour de sécurité pour Windows XP (KB899591)
Mise à jour de sécurité pour Windows XP (KB900725)
Mise à jour de sécurité pour Windows XP (KB901017)
Mise à jour de sécurité pour Windows XP (KB901214)
Mise à jour de sécurité pour Windows XP (KB902400)
Mise à jour de sécurité pour Windows XP (KB903235)
Mise à jour de sécurité pour Windows XP (KB904706)
Mise à jour de sécurité pour Windows XP (KB905414)
Mise à jour de sécurité pour Windows XP (KB905749)
Mise à jour de sécurité pour Windows XP (KB905915)
Mise à jour de sécurité pour Windows XP (KB908519)
Mise à jour de sécurité pour Windows XP (KB908531)
Mise à jour de sécurité pour Windows XP (KB911562)
Mise à jour de sécurité pour Windows XP (KB911567)
Mise à jour de sécurité pour Windows XP (KB911927)
Mise à jour de sécurité pour Windows XP (KB912812)
Mise à jour de sécurité pour Windows XP (KB912919)
Mise à jour de sécurité pour Windows XP (KB913446)
Mise à jour de sécurité pour Windows XP (KB913580)
Mise à jour de sécurité pour Windows XP (KB914388)
Mise à jour de sécurité pour Windows XP (KB914389)
Mise à jour de sécurité pour Windows XP (KB916281)
Mise à jour de sécurité pour Windows XP (KB917159)
Mise à jour de sécurité pour Windows XP (KB917344)
Mise à jour de sécurité pour Windows XP (KB917422)
Mise à jour de sécurité pour Windows XP (KB917953)
Mise à jour de sécurité pour Windows XP (KB918439)
Mise à jour de sécurité pour Windows XP (KB918899)
Mise à jour de sécurité pour Windows XP (KB920214)
Mise à jour de sécurité pour Windows XP (KB920670)
Mise à jour de sécurité pour Windows XP (KB920683)
Mise à jour de sécurité pour Windows XP (KB921398)
Mise à jour de sécurité pour Windows XP (KB921883)
Mise à jour de sécurité pour Windows XP (KB922616)
Mise à jour pour Windows XP (KB894391)
Mise à jour pour Windows XP (KB896727)
Mise à jour pour Windows XP (KB898461)
Mise à jour pour Windows XP (KB900485)
Mise à jour pour Windows XP (KB910437)
Mise à jour pour Windows XP (KB911280)
Mise à jour pour Windows XP (KB916595)
Music Manager
MuVo Driver
Nero
NVIDIA Windows 2000/XP Display Drivers
OFFICE One 150 Modèles de documents
OFFICE One 450 Polices de caractères
OFFICE One 6.0
OFFICE One Coffre Fort v6
OFFICE One Comptes Bancaires v6
OFFICE One Notes v6
OFFICE One PC-Cillin v9
OFFICE One PDF Manager v6
OFFICE One Zip v6
SearchEnhancement: Bookmark
SearchEnhancement: Command
SearchEnhancement: Customize
SearchEnhancement: Error
SearchEnhancement: Filter
SearchEnhancement: Hopper
SearchEnhancement: Search
SearchEnhancement: Watcher
Shockwave
SpeedTouch USB Software
Spybot - Search & Destroy 1.4
SpyKill Uninstall
Sunbelt Kerio Personal Firewall
Super Vidéothèque
TopSearch
updater (remove only)
Wanadoo
Wanadoo Messager
Win Search
Windows Installer 3.1 (KB893803)
Windows Installer 3.1 (KB893803)
Windows Media Format Runtime
Windows XP Service Pack 2
Yahoo! Toolbar avec bloqueur de fenêtres pop-up


2) Suppression TopSearch par Hijackthis

3) Avec Killbox, j'ai mis C:\Program Files\TopSearch au lieu de C:\Program Files\TopSearch\TopSearch.exe
J'espère que ce n'est pas grave !
J'ai voulu le refaire en mettant le bon nom mais apparemment il a été supprimé.

4) le fichier dans C:\Program Files\TopSearch s'appelle "uninstall.exe".

Du coup, je ne l'ai pas supprimé comme je m'étais trompée dans le chemin dans killbox.
Dois-je le supprimer ?
J'attends ta confirmation avant de continuer.

Merci d'avance.
0
Réponse 37 / 58
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
19 août 2006 à 20:16
OK

1°- Dans la liste sortie de HJT :
.....SpyKill Uninstall
Sunbelt Kerio Personal Firewall
Super Vidéothèque
TopSearch
updater (remove only)
Wanadoo ....
Tu fais "clic droit" et tu supprimes TopSearch

2°- Dans C:\Program Files\TopSearch , le seul fichier que tu vois est donc "uninstall.exe"; essaie de le supprimer.
Et en 4°-, j'avais dit « Le dossier va s'ouvrir: donne nous la liste des fichiers présents dans le dossier !
Reviens dessus (clique droit /supprimer) »---> Fais-le, s'il est encore là .

3°- Vide ta corbeille s'il y a lieu .

4°- Relance HJT et clique sur Open the misc tools sections -> open Uninstall manager -> clique sur "Save list" ; et vois si tu as encore TopSearch dans la liste.

5°- Ensuite fais un rapport hijackthis et colle le rapport sur le forum !

On verra par la suite s'il faut recommencer y compris avec " PocketKillbox ".----> après Killbox, avais-tu redémarré le PC ?

à+..
(Désolé, mais c'est la fatigue )
0
Réponse 38 / 58
Karine
20 août 2006 à 11:06
Bonjour,

J'ai fait ce que tu m'as demandé.
Pour le 4), je vois toujours TopSearch dans la liste !!!

5) Voici le rapport du HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 11:04:05, on 20/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\Demon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\OFFICE ONE6.0\OFFICE One PDF Manager v6\OoPDFSettingsv6.exe
C:\Program Files\OFFICE ONE6.0\OFFICE One Notes v6\OFFICEOneNotesv6.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\OFFICE ONE6.0\program\soffice.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HihjackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [smanp] C:\DOCUME~1\KARINE\LOCALS~1\Temp\appB.tmp
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [oov6multiuser.exe] C:\program files\OFFICE One6.0\program\oov6multiuser.exe
O4 - HKLM\..\Run: [OoPDFSettingsv6.exe] C:\Program Files\OFFICE ONE6.0\OFFICE One PDF Manager v6\OoPDFSettingsv6.exe
O4 - HKLM\..\Run: [OFFICEOneNotesv6.exe] C:\Program Files\OFFICE ONE6.0\OFFICE One Notes v6\OFFICEOneNotesv6.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: OFFICE One 6.0.lnk = C:\Program Files\OFFICE ONE6.0\program\quickstart.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{A07DCAAB-834D-443B-A46B-A125F4BC3C78}: NameServer = 80.10.246.130 80.10.246.3
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Et, oui, j'avais redémarré le PC après killbox.

A+.
0
Réponse 39 / 58
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
20 août 2006 à 12:34
Bonjour Karine

Ça semble bon.
Mais tu ne me renseignes pas sur ceci:
•- Dans C:\Program Files\TopSearch , le seul fichier que tu vois est donc "uninstall.exe"; essaie de le supprimer.
As-tu encore trouvé " uninstall.exe" ?

•- Et j'avais dit « Le dossier va s'ouvrir: donne nous la liste des fichiers présents dans le dossier !
Reviens dessus (clique droit /supprimer) »---> Fais-le, s'il est encore là .
Donc, est-il encore là C:\Program Files\TopSearch

Contrôle ceci SVP:
•- "Démarrer">"Panneau de Configuration">"Ajout/Suppression de programme" -----> TopSearch est-il encore là ?-----> Supprime-le .
•- Spybot S&D>"Mode Avancé">"Outils">"Info de Désinstallation">----> TopSearch est-il encore là ?-----> Supprime-le .

Redémarre le PC
0
Réponse 40 / 58
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
20 août 2006 à 14:56
Karine
( suite )

1°- Peux-tu relancer HJT et fixer ces deux lignes :
•- O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE --->( inutile au démarrage ).
•- O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE ( je ne vois pas ce que " Microsoft Recherche accélérée.lnk " ---> ( rien à faire au démarrage ). ?

2°- Peux-tu contrôler ce fichier à l'aide de VirusTotal :
• à la ligne O4 - HKLM\..\Run: [smanp] ; en suivant ce chemin : C:\DOCUME~1\KARINE\LOCALS~1\Temp\appB.tmp . ?
Pour cela, vas là :< http://www.virustotal.com/en/virustotalx.html > et tu cliques sur parcourir ; ensuite sur la page qui s'affiche tu suis le chemin du fichier > quand tu l'as, tu fais "ouvrir" > le fichier se retrouve dans la fenêtre de Virustotal > là, tu cliques sur "send" et tu attends le résultat que tu postes sur le forum.
0