[Virus] Infecté par Win32:Sinowal-u et autres [Résolu/Fermé]

Signaler
Messages postés
23
Date d'inscription
lundi 22 janvier 2007
Statut
Membre
Dernière intervention
10 janvier 2014
-
 totoche44 -
Bonjour à tous,

Avast m'a récemment découvert plusieurs infections : Win32:Sinowal-u, Win32:Trojan-gen, Win32:Renos-X et Win32:Small-APN.

Je n'arrive pas à les supprimer.

Est-ce quelqu'un pourrait m'aider ?

Merci d'avance.

J'ai fait un scan avec Hijackthis, si ça peut aider

Logfile of HijackThis v1.99.1
Scan saved at 08:35:57, on 22/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\Program Files\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\autosys.exe
C:\PROGRA~1\WANADOO\TaskBarIcon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\msinnt.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\wpablan.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\ctpmon.exe
C:\WINDOWS\System32\ctpmon.exe
C:\WINDOWS\System32\autosys.exe
C:\Documents and Settings\Elisabeth Debray\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Install5G] E:\Install.exe /SI=30
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AutoSys] C:\WINDOWS\System32\autosys.exe
O4 - HKLM\..\Run: [Win32] msinnt.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunServices: [Win32] msinnt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [Win32] msinnt.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Install Driver Manager (Install Driver Table Manager) - Unknown owner - C:\WINDOWS\wpablan.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

29 réponses

Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
Bonjour,

* Télécharge SmitfraudFix
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
de S!Ri, balltrap34 et moe31

* Installe le à la racine de C

* double clic sur l'exe pour le décompresser et lancer le fix.
Utilisation ----- option 1 - Recherche :
* Double clique sur smitfraudfix.cmd * Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
* Poste le rapport ici
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
SmitFraudFix v2.301

Rapport fait à 21:45:58,12, 11/03/2008
Executé à partir de C:\Documents and Settings\V‚ronique\Bureau\T‚lecharg\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\mmhren1.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MESSEN~1\Msmsgs.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
c:\wcbcapm.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\kqziqc.exe
C:\WINDOWS\system32\kcrpah.exe
C:\WINDOWS\system32\fmzhqn.exe
C:\WINDOWS\system32\fmbiin.exe
C:\WINDOWS\system32\qxyneb.exe
C:\WINDOWS\system32\hdgzaf.exe
C:\WINDOWS\system32\vjeoxh.exe
C:\WINDOWS\system32\ixvccj.exe
C:\WINDOWS\system32\rrcuao.exe
C:\WINDOWS\system32\kzjdno.exe
C:\WINDOWS\system32\lvfpid.exe
C:\WINDOWS\system32\nrinpd.exe
C:\WINDOWS\system32\bjshxb.exe
C:\WINDOWS\system32\ppjwud.exe
c:\rctouc.exe
C:\WINDOWS\system32\axdnnn.exe
c:\rctouc.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\default.htm PRESENT !
C:\WINDOWS\keyboard1.dat PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\mgmrwmrv.exe PRESENT !
C:\WINDOWS\system32\winfrun32.bin PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\V‚ronique


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\V‚ronique\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\VRONIQ~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\Helper\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{48F7EAB3-4F5A-4BCB-9EE2-625FE21B3BA0}: NameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{8C746F30-37C6-43A5-9EBE-880B69DA34CB}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{48F7EAB3-4F5A-4BCB-9EE2-625FE21B3BA0}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8C746F30-37C6-43A5-9EBE-880B69DA34CB}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{48F7EAB3-4F5A-4BCB-9EE2-625FE21B3BA0}: NameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8C746F30-37C6-43A5-9EBE-880B69DA34CB}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
Messages postés
305
Date d'inscription
lundi 21 mars 2005
Statut
Membre
Dernière intervention
13 avril 2007
11
salut,

déja, mets à jour IE. Tu as la v6, passe à la v7 via WU :)

ensuite :

relance hijackthis en mode "scan only" et coche ceci :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

O4 - HKLM\..\Run: [AutoSys] C:\WINDOWS\System32\autosys.exe



Ensuite, en bas, clique sur Fix It !


***************************************************************

maintenant, appui sur ctrl + alt + supp, et une fenetre s'ouvriera.
clique sur processus, et cherche ceux-ci (y'en a surement 2 !!) :

<b>autosys.exe</b>


Clique droit dessus, et fait fermer le processus.

Ensuite, Ouvre le Poste de travail > Outils > Options des dossiers > Affichage.
Coche la case "Afficher les fichiers et dossiers cachés".
Décoche la case "Masquer les extensions des fichiers dont le type est connu".


Puis, dans l'explorateur de windows, recherche ceci et supprime ce qui est en gras !!

C:\WINDOWS\system32\<b>autosys.exe</b>

***************************************************************
maintenant, Ccleaner :

https://www.pcastuces.com/logitheque/ccleaner.htm

¤ Lance CCleaner.

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé)
• Clique sur Analyse
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur Lancer le Nettoyage

Suppression des incohérence du registre

• Clique sur l'icône Erreurs situés dans la marge à gauche.
• Puis clique sur Analyser les erreurs
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur Corriger les erreurs.

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.

***********************************************************************

Vide ta corbeille

***********************************************************************
ensuite,

Télécharge ceci :http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Execute-le.
Choisi l'option 1.
Un rapport va se créer ici : C:\rapport.txt
Copie-colle le ici.

***********************************************************************

Redémarre ton pc en mode sans échec (Tapote sur F8 jusqu'à l'apparition de l'écran de choix, passe toi sur mode sans echec, puis Entrer).
Relance le programme, et choisi l'option 2 cette fois.

Après le scan, un log va se créer ici : C:\rapport.txt

Le pc va redémarrer.

Copie-colle le rapport ici, avec un log Hijackthis.

***********************************************************************

Avant dernière étape :

Tu télécharges AVG anti-spyware (gratuit même après la période d'essai) ici :

http://www.grisoft.com/doc/downloads-results/lng/fr/tpl/tpl01?prd=triasw

Tu enregistres le fichier dans un dossier.

A la fin du téléchargement, tu ouvres le dossier et tu doubles click sur avgas-setup-7.5.0.47.exe Tu suis les instructions.

Si on te demande de redémarrer ton ordinateur, tu le fais.

Pour lancer AVG anti spyware tu doubles click sur l'icone qui s'est créé sur le bureau.

La première fois que tu l'utilises, tu configures le logiciel.
Sur la page "état", tu choisis inactif pour le bouclier résident.

Sur la page "mise à jour", tu coches les cases sur les mises à jour automatiques et tu fais une mise à jour manuelle (commencer la mise à jour). Tu redémarres l'ordinateur si nécessaire.
Sur la page "analyse", tu choisis d'abord l'onglet "paramètres". Tu coches "générer un rapport après chaque analyse" et "uniquement en cas de menaces". Tu choisis aussi l'option "quarantaine" pour "comment réagir", 'définir l'action par défaut ...'
Tu choisis l'onglet analyser, nouvelle analyse, analyse complète du système.
Aa fin de l'analyse, tu cliques sur "action", "appliquer toutes les actions" puis "enregistrer le rapport" puis "enregistrer le rapport sous". Tu suis les instructions dans la fenêtre qui s'ouvre.
Ensuite, tu ouvres le rapport avec le bloc-notes pour le copier/coller avec ta réponse.

***********************************************************************

Enfin, pour terminer, refait un log Hijackthis et copie/colle le ici



bon courage à toi .

Pour info, quand tu es en mode sans echec, tu n'as pu accés au net.

Pense à imprimer cela, ou le recopier, au moins la partie sans connexion :)

Bon courage.

@+

Iceman6259
Messages postés
23
Date d'inscription
lundi 22 janvier 2007
Statut
Membre
Dernière intervention
10 janvier 2014

Bonjour Iceman et merci de ta réponse,

Donc le premier scan de SmitFraudFix donne ça :

SmitFraudFix v2.133

Rapport fait à 22:07:44,00, 22/01/2007
Executé à partir de C:\Documents and Settings\Elisabeth Debray\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\autosys.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Elisabeth Debray


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Elisabeth Debray\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ELISAB~1\FAVORIS


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

pe386 détecté, utilisez un scanner de Rootkit

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



Le deuxième rapport de SmitFraudFix (en mode sans échec) donne ça :


SmitFraudFix v2.133

Rapport fait à 22:12:48,85, 22/01/2007
Executé à partir de C:\Documents and Settings\Elisabeth Debray\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\autosys.exe supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


Le log Hijackthis donne ça :

Logfile of HijackThis v1.99.1
Scan saved at 22:18:31, on 22/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\Program Files\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\WANADOO\TaskBarIcon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\PROGRA~1\WANADOO\ComComp.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\wpablan.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\ctpmon.exe
C:\WINDOWS\System32\ctpmon.exe
C:\WINDOWS\System32\autosys.exe
C:\Documents and Settings\Elisabeth Debray\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Install5G] E:\Install.exe /SI=30
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [AutoSys] C:\WINDOWS\System32\autosys.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\GestMaj.exe EspaceWanadoo.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Install Driver Manager (Install Driver Table Manager) - Unknown owner - C:\WINDOWS\wpablan.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe


Résultat apparent : Avast détecte encore plusieurs infections, mais apparemment moins.


Je suis actuellement en train de faire le scan avec AVG, mais le PC rame énormément. AVG me prend 100% de la mémoire de l'UC, et le programme n'est pas arrivé à récupérer toutes les mises à jour.
Si le scan aboutit je posterai le rapport ce soir avec un nouveau log de Hijackthis.

Encore merci de ton aide.


Arthuro3775
Messages postés
305
Date d'inscription
lundi 21 mars 2005
Statut
Membre
Dernière intervention
13 avril 2007
11
ok, je te laisse faire alors philae ??

désolé, ce fut long à ecrire...
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
bonjour iceman, décidement, on se retrouve de partout.
Non vas y tu as plus avancé que moi


Messages postés
305
Date d'inscription
lundi 21 mars 2005
Statut
Membre
Dernière intervention
13 avril 2007
11
ok, tu me supervise quand même un peu ?? ^^

désolé encore... ca devient régulier ...
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206 >
Messages postés
305
Date d'inscription
lundi 21 mars 2005
Statut
Membre
Dernière intervention
13 avril 2007

re
ok, tu me supervise quand même un peu ?? ^^ 


pourquoi tu en as besoin ?
Messages postés
305
Date d'inscription
lundi 21 mars 2005
Statut
Membre
Dernière intervention
13 avril 2007
11 >
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009

ca évite de faire des erreurs notament dans l'interprétation des résultats.

Et je suis relativement jeune helper !! Même si j'ai déjà des "aides" d'autres helpers. Ca me rassure ^^

Mais sinon, t'inquiète pas, je pense etre capable, et de demander si besoin :)
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206 >
Messages postés
305
Date d'inscription
lundi 21 mars 2005
Statut
Membre
Dernière intervention
13 avril 2007

Mais sinon, t'inquiète pas, je pense etre capable, et de demander si besoin :)


je ne m'inquiète pas du tout. Bonne continuation
Messages postés
23
Date d'inscription
lundi 22 janvier 2007
Statut
Membre
Dernière intervention
10 janvier 2014
>
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009

Salut Philae

J'ai suivi les manips préconisées par Iceman et posté les logs demandés de Smitfraudfix.

Tu saurais analyser les rapports (post 9) et me dire si c'est grave ?

Thanks

Arthuro3775
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
bonjour,

visiblement iceman n'est pas encore présent, je continue

ce n'est toujours pas bon

* Télécharge ce fichier (par ejvindh)
http://www.uploads.ejvindh.net/rustbfix.exe
* sauvegarde-le sur ton Bureau.

* Double clique rustbfix.exe afin de lancer l'outil.
Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
* Copie colle le contenu de ces deux rapports, ainsi qu'un nouveau log HijackThis


Messages postés
305
Date d'inscription
lundi 21 mars 2005
Statut
Membre
Dernière intervention
13 avril 2007
11
désolé... je fus absent hier et aujourd'hui, mais je reviens !! désolé encore et MERCI à philae :)

J'ai bien fait de te dire de superviser :)

Et te demanderais donc de continuer au cas ou :)

encore désolé.

@+

Iceman6259
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
coucou iceman,

c'est surtout que je reçois les notif d'email sinon je ne l'aurais pas vu.
je te relaisse la place :)
Messages postés
305
Date d'inscription
lundi 21 mars 2005
Statut
Membre
Dernière intervention
13 avril 2007
11 >
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009

ok, merci.

Mais si ca te dérange pas, continu de regarder quand même, et d'intervenir si j'ai pas vu quelque chose ou autre...

Ca me rassure :)

Mais quand même, un grand Merci ;)
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206 >
Messages postés
305
Date d'inscription
lundi 21 mars 2005
Statut
Membre
Dernière intervention
13 avril 2007

OK
il serait bien que notre ami arthuro3775 revienne continuer son problème n'étant pas solutionner
Messages postés
305
Date d'inscription
lundi 21 mars 2005
Statut
Membre
Dernière intervention
13 avril 2007
11
oui. mais je patienterais ^^

il a du l'etre avec moi non?? lol

@+
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
certes, on ne peut être H24 derrière son pc, et heureusement d'ailleurs
>
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009

Désolé je viens juste de rentrer.

Donc bonsoir.

J'ai installé rustbfix

Le rapport avenger donne :

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\avxlpyso

*******************

Script file located at: \??\C:\WINDOWS\nfelnxmr.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver PE386 unloaded successfully.
Program C:\Rustbfix\2run.bat successfully set up to run once on reboot.

Completed script processing.

*******************

Finished! Terminate.



Et le rapport pelog.txt dit qu'il n'y a pas d'infection rustock.


C'est donc le statu quo.

Que faire ?


Arthuro3775
ntrer.
Messages postés
305
Date d'inscription
lundi 21 mars 2005
Statut
Membre
Dernière intervention
13 avril 2007
11
Salut, on t'attendait ^^

bon, je vais bientot epuiser mes armes !!

philae, tu as un canned pour brutus stp?? j'en ai pas sous la main (en mp) ;)

Arthuro3775 :

Va sur ce lien et télécharge Blacklight(de F-Secure) :
< https://www.f-secure.com/en > et sauvegarde le sur ton Bureau
Consulte le tuto de Malekal_morte ici :
< https://www.malekal.com/tutorial-f-secure-blacklight/ >
Tu suis le tuto pour la phase 1 (scan) et tu postes le rapport de blacklight dans ta réponse.



@+
Messages postés
23
Date d'inscription
lundi 22 janvier 2007
Statut
Membre
Dernière intervention
10 janvier 2014

Ecco

01/23/07 22:06:38 [Info]: BlackLight Engine 1.0.55 initialized
01/23/07 22:06:38 [Info]: OS: 5.1 build 2600 (Service Pack 1)
01/23/07 22:06:39 [Note]: 7019 4
01/23/07 22:06:39 [Note]: 7005 0
01/23/07 22:06:47 [Note]: 7006 0
01/23/07 22:06:47 [Note]: 7011 1332
01/23/07 22:06:48 [Note]: 7026 0
01/23/07 22:06:48 [Note]: 7026 0
01/23/07 22:07:20 [Note]: FSRAW library version 1.7.1021
01/23/07 22:08:03 [Note]: 2000 1012
01/23/07 22:08:03 [Note]: 2000 1012
01/23/07 22:08:03 [Note]: 2000 1012
01/23/07 22:08:26 [Note]: 7007 0
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
iceman, va voir tes MP
Messages postés
305
Date d'inscription
lundi 21 mars 2005
Statut
Membre
Dernière intervention
13 avril 2007
11
peux-tu repasser un coup de smitfraudfix stp??

Bonjour,

* Télécharge SmitfraudFix
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
de S!Ri, balltrap34 et moe31

* Installe le à la racine de C

* double clic sur l'exe pour le décompresser et lancer le fix.
Utilisation ----- option 1 - Recherche :
* Double clique sur smitfraudfix.cmd * Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
* Poste le rapport ici
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


@+
Messages postés
23
Date d'inscription
lundi 22 janvier 2007
Statut
Membre
Dernière intervention
10 janvier 2014

Bonjour Iceman

Ci-joint rapport Smitfraudfix

SmitFraudFix v2.133

Rapport fait à 8:43:37,82, 24/01/2007
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\secure32.html PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\autosys.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Elisabeth Debray


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Elisabeth Debray\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ELISAB~1\FAVORIS


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
Messages postés
305
Date d'inscription
lundi 21 mars 2005
Statut
Membre
Dernière intervention
13 avril 2007
11
Télécharge ceci et suit la procédure stp.


Télécharge gmer : https://www.majorgeeks.com/files/details/gmer.html
Déconnecte toi d'internet si possible et ferme tous les programmes.
Décompresse le fichier zip et double-clic sur gmer.exe
IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"

Clic sur Scan
Lorsque le scan est terminé, clic sur "copy"

Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici




Ensuite, je fais un log HJT.

Je recherche le soucis en attendant.

@+

Je reste la un moment si besoin.
Messages postés
23
Date d'inscription
lundi 22 janvier 2007
Statut
Membre
Dernière intervention
10 janvier 2014

Re-bonjour

Ci-joint rapport de GMER

GMER 1.0.12.12011 - http://www.gmer.net
Rootkit scan 2007-01-24 09:03:59
Windows 5.1.2600 Service Pack 1


---- System - GMER 1.0.12 ----

SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwClose
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwCreateFile
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwCreateKey
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwCreateProcess
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwCreateProcessEx
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwCreateThread
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwDeleteFile
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwDeleteKey
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwDeleteValueKey
SSDT \SystemRoot\system32\drivers\khips.sys ZwLoadDriver
SSDT \SystemRoot\system32\drivers\khips.sys ZwMapViewOfSection
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwOpenFile
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwOpenKey
SSDT \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys ZwOpenProcess
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwResumeThread
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwSetInformationFile
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwSetValueKey
SSDT \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys ZwTerminateProcess
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwWriteFile

---- Kernel code sections - GMER 1.0.12 ----

.text ntoskrnl.exe!_abnormal_termination + DB 804DE68D 3 Bytes [ 99, DA, EE ]
PAGENDSM NDIS.sys!NdisMIndicateStatus F749687D 6 Bytes [ FF, 25, 88, B5, E1, EE ]
.text ntdll.dll!NtClose 77F658AA 5 Bytes JMP 72033FAA
.text ntdll.dll!NtCreateProcess 77F659F4 5 Bytes JMP 72034135
.text ntdll.dll!NtCreateProcessEx 77F65A03 5 Bytes JMP 72034019
.text ntdll.dll!NtCreateSection 77F65A21 5 Bytes JMP 72033FC8

---- User code sections - GMER 1.0.12 ----

.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] WS2_32.dll!bind 719FC328 5 Bytes JMP 00130838
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] WS2_32.dll!connect 719FC3AF 5 Bytes JMP 00130950
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] WS2_32.dll!socket 719FD159 5 Bytes JMP 001308C4
.text C:\WINDOWS\System32\igfxtray.exe[456] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\WINDOWS\System32\igfxtray.exe[456] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\WINDOWS\System32\igfxtray.exe[456] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\WINDOWS\System32\igfxtray.exe[456] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\WINDOWS\System32\igfxtray.exe[456] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\WINDOWS\System32\igfxtray.exe[456] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\WINDOWS\System32\igfxtray.exe[456] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\WINDOWS\System32\igfxtray.exe[456] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\WINDOWS\System32\igfxtray.exe[456] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\WINDOWS\System32\igfxtray.exe[456] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\WINDOWS\System32\igfxtray.exe[456] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\WINDOWS\System32\igfxtray.exe[456] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\WINDOWS\System32\igfxtray.exe[456] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\WINDOWS\System32\igfxtray.exe[456] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\WINDOWS\System32\igfxtray.exe[456] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\WINDOWS\System32\igfxtray.exe[456] wininet.dll!InternetOpenA 63017790 5 Bytes JMP 00130D24
.text C:\WINDOWS\System32\igfxtray.exe[456] wininet.dll!InternetConnectA 63017988 5 Bytes JMP 00130F54
.text C:\WINDOWS\System32\igfxtray.exe[456] wininet.dll!InternetOpenUrlA 63017F59 5 Bytes JMP 00130E3C
.text C:\WINDOWS\System32\igfxtray.exe[456] wininet.dll!InternetOpenW 6301A0E4 5 Bytes JMP 00130DB0
.text C:\WINDOWS\System32\igfxtray.exe[456] wininet.dll!InternetConnectW 6301A261 5 Bytes JMP 00130FE0
.text C:\WINDOWS\System32\igfxtray.exe[456] wininet.dll!InternetOpenUrlW 6301A3FB 5 Bytes JMP 00130EC8
.text C:\WINDOWS\System32\igfxtray.exe[456] WS2_32.dll!bind 719FC328 5 Bytes JMP 00130838
.text C:\WINDOWS\System32\igfxtray.exe[456] WS2_32.dll!connect 719FC3AF 5 Bytes JMP 00130950
.text C:\WINDOWS\System32\igfxtray.exe[456] WS2_32.dll!socket 719FD159 5 Bytes JMP 001308C4
.text C:\WINDOWS\System32\hkcmd.exe[468] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\WINDOWS\System32\hkcmd.exe[468] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\WINDOWS\System32\hkcmd.exe[468] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\WINDOWS\System32\hkcmd.exe[468] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\WINDOWS\System32\hkcmd.exe[468] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\WINDOWS\System32\hkcmd.exe[468] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\WINDOWS\System32\hkcmd.exe[468] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\WINDOWS\System32\hkcmd.exe[468] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\WINDOWS\System32\hkcmd.exe[468] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\WINDOWS\System32\hkcmd.exe[468] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\WINDOWS\System32\hkcmd.exe[468] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\WINDOWS\System32\hkcmd.exe[468] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\WINDOWS\System32\hkcmd.exe[468] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\WINDOWS\System32\hkcmd.exe[468] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\WINDOWS\System32\hkcmd.exe[468] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\WINDOWS\System32\hkcmd.exe[468] wininet.dll!InternetOpenA 63017790 5 Bytes JMP 00130D24
.text C:\WINDOWS\System32\hkcmd.exe[468] wininet.dll!InternetConnectA 63017988 5 Bytes JMP 00130F54
.text C:\WINDOWS\System32\hkcmd.exe[468] wininet.dll!InternetOpenUrlA 63017F59 5 Bytes JMP 00130E3C
.text C:\WINDOWS\System32\hkcmd.exe[468] wininet.dll!InternetOpenW 6301A0E4 5 Bytes JMP 00130DB0
.text C:\WINDOWS\System32\hkcmd.exe[468] wininet.dll!InternetConnectW 6301A261 5 Bytes JMP 00130FE0
.text C:\WINDOWS\System32\hkcmd.exe[468] wininet.dll!InternetOpenUrlW 6301A3FB 5 Bytes JMP 00130EC8
.text C:\WINDOWS\System32\hkcmd.exe[468] WS2_32.dll!bind 719FC328 5 Bytes JMP 00130838
.text C:\WINDOWS\System32\hkcmd.exe[468] WS2_32.dll!connect 719FC3AF 5 Bytes JMP 00130950
.text C:\WINDOWS\System32\hkcmd.exe[468] WS2_32.dll!socket 719FD159 5 Bytes JMP 001308C4
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\WINDOWS\system32\csrss.exe[544] KERNEL32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00160090
.text C:\WINDOWS\system32\csrss.exe[544] KERNEL32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00160694
.text C:\WINDOWS\system32\csrss.exe[544] KERNEL32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001602C0
.text C:\WINDOWS\system32\csrss.exe[544] KERNEL32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00160234
.text C:\WINDOWS\system32\csrss.exe[544] KERNEL32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0016011C
.text C:\WINDOWS\system32\csrss.exe[544] KERNEL32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00160004
.text C:\WINDOWS\system32\csrss.exe[544] KERNEL32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001601A8
.text C:\WINDOWS\system32\csrss.exe[544] KERNEL32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001604F0
.text C:\WINDOWS\system32\csrss.exe[544] KERNEL32.dll!CreateThread 77E50049 5 Bytes JMP 0016057C
.text C:\WINDOWS\system32\csrss.exe[544] KERNEL32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001603D8
.text C:\WINDOWS\system32\csrss.exe[544] KERNEL32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0016034C
.text C:\WINDOWS\system32\csrss.exe[544] KERNEL32.dll!WinExec 77E62CF5 5 Bytes JMP 00160464
.text C:\WINDOWS\system32\csrss.exe[544] KERNEL32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00160608
.text C:\WINDOWS\system32\csrss.exe[544] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00160720
.text C:\WINDOWS\system32\csrss.exe[544] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001607AC
.text C:\WINDOWS\system32\winlogon.exe[568] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00070090
.text C:\WINDOWS\system32\winlogon.exe[568] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00070694
.text C:\WINDOWS\system32\winlogon.exe[568] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 000702C0
.text C:\WINDOWS\system32\winlogon.exe[568] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00070234
.text C:\WINDOWS\system32\winlogon.exe[568] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0007011C
.text C:\WINDOWS\system32\winlogon.exe[568] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00070004
.text C:\WINDOWS\system32\winlogon.exe[568] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 000701A8
.text C:\WINDOWS\system32\winlogon.exe[568] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 000704F0
.text C:\WINDOWS\system32\winlogon.exe[568] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0007057C
.text C:\WINDOWS\system32\winlogon.exe[568] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 000703D8
.text C:\WINDOWS\system32\winlogon.exe[568] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0007034C
.text C:\WINDOWS\system32\winlogon.exe[568] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00070464
.text C:\WINDOWS\system32\winlogon.exe[568] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00070608
.text C:\WINDOWS\system32\winlogon.exe[568] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00070720
.text C:\WINDOWS\system32\winlogon.exe[568] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 000707AC
.text C:\WINDOWS\system32\winlogon.exe[568] WS2_32.dll!bind 719FC328 5 Bytes JMP 00070838
.text C:\WINDOWS\system32\winlogon.exe[568] WS2_32.dll!connect 719FC3AF 5 Bytes JMP 00070950
.text C:\WINDOWS\system32\winlogon.exe[568] WS2_32.dll!socket 719FD159 5 Bytes JMP 000708C4
.text C:\WINDOWS\system32\services.exe[612] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00070090
.text C:\WINDOWS\system32\services.exe[612] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00070694
.text C:\WINDOWS\system32\services.exe[612] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 000702C0
.text C:\WINDOWS\system32\services.exe[612] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00070234
.text C:\WINDOWS\system32\services.exe[612] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0007011C
.text C:\WINDOWS\system32\services.exe[612] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00070004
.text C:\WINDOWS\system32\services.exe[612] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 000701A8
.text C:\WINDOWS\system32\services.exe[612] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 000704F0
.text C:\WINDOWS\system32\services.exe[612] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0007057C
.text C:\WINDOWS\system32\services.exe[612] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 000703D8
.text C:\WINDOWS\system32\services.exe[612] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0007034C
.text C:\WINDOWS\system32\services.exe[612] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00070464
.text C:\WINDOWS\system32\services.exe[612] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00070608
.text C:\WINDOWS\system32\services.exe[612] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00070720
.text C:\WINDOWS\system32\services.exe[612] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 000707AC
.text C:\WINDOWS\system32\services.exe[612] WS2_32.dll!bind 719FC328 5 Bytes JMP 00070838
.text C:\WINDOWS\system32\services.exe[612] WS2_32.dll!connect 719FC3AF 5 Bytes JMP 00070950
.text C:\WINDOWS\system32\services.exe[612] WS2_32.dll!socket 719FD159 5 Bytes JMP 000708C4
.text C:\WINDOWS\system32\lsass.exe[624] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00070090
.text C:\WINDOWS\system32\lsass.exe[624] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00070694
.text C:\WINDOWS\system32\lsass.exe[624] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 000702C0
.text C:\WINDOWS\system32\lsass.exe[624] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00070234
.text C:\WINDOWS\system32\lsass.exe[624] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0007011C
.text C:\WINDOWS\system32\lsass.exe[624] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00070004
.text C:\WINDOWS\system32\lsass.exe[624] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 000701A8
.text C:\WINDOWS\system32\lsass.exe[624] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 000704F0
.text C:\WINDOWS\system32\lsass.exe[624] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0007057C
.text C:\WINDOWS\system32\lsass.exe[624] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 000703D8
.text C:\WINDOWS\system32\lsass.exe[624] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0007034C
.text C:\WINDOWS\system32\lsass.exe[624] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00070464
.text C:\WINDOWS\system32\lsass.exe[624] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00070608
.text C:\WINDOWS\system32\lsass.exe[624] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00070720
.text C:\WINDOWS\system32\lsass.exe[624] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 000707AC
.text C:\WINDOWS\system32\lsass.exe[624] WS2_32.dll!bind 719FC328 5 Bytes JMP 00070838
.text C:\WINDOWS\system32\lsass.exe[624] WS2_32.dll!connect 719FC3AF 5 Bytes JMP 00070950
.text C:\WINDOWS\system32\lsass.exe[624] WS2_32.dll!socket 719FD159 5 Bytes JMP 000708C4
.text C:\Program Files\Internet Explorer\iexplore.exe[712] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\Program Files\Internet Explorer\iexplore.exe[712] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\Program Files\Internet Explorer\iexplore.exe[712] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\Program Files\Internet Explorer\iexplore.exe[712] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\Program Files\Internet Explorer\iexplore.exe[712] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\Program Files\Internet Explorer\iexplore.exe[712] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\Program Files\Internet Explorer\iexplore.exe[712] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\Program Files\Internet Explorer\iexplore.exe[712] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\Program Files\Internet Explorer\iexplore.exe[712] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\Program Files\Internet Explorer\iexplore.exe[712] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\Program Files\Internet Explorer\iexplore.exe[712] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\Program Files\Internet Explorer\iexplore.exe[712] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\Program Files\Internet Explorer\iexplore.exe[712] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\Program Files\Internet Explorer\iexplore.exe[712] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\Program Files\Internet Explorer\iexplore.exe[712] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\Program Files\Internet Explorer\iexplore.exe[712] WININET.dll!InternetOpenA 015C7790 5 Bytes JMP 00130D24
.text C:\Program Files\Internet Explorer\iexplore.exe[712] WININET.dll!InternetConnectA 015C7988 5 Bytes JMP 00130F54
.text C:\Program Files\Internet Explorer\iexplore.exe[712] WININET.dll!InternetOpenUrlA 015C7F59 5 Bytes JMP 00130E3C
.text C:\Program Files\Internet Explorer\iexplore.exe[712] WININET.dll!InternetOpenW 015CA0E4 5 Bytes JMP 00130DB0
.text C:\Program Files\Internet Explorer\iexplore.exe[712] WININET.dll!InternetConnectW 015CA261 5 Bytes JMP 00130FE0
.text C:\Program Files\Internet Explorer\iexplore.exe[712] WININET.dll!InternetOpenUrlW 015CA3FB 5 Bytes JMP 00130EC8
.text C:\Program Files\Internet Explorer\iexplore.exe[712] WS2_32.dll!bind 719FC328 5 Bytes JMP 00130838
.text C:\Program Files\Internet Explorer\iexplore.exe[712] WS2_32.dll!connect 719FC3AF 5 Bytes JMP 00130950
.text C:\Program Files\Internet Explorer\iexplore.exe[712] WS2_32.dll!socket 719FD159 5 Bytes JMP 001308C4
.text C:\WINDOWS\system32\svchost.exe[788] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00070090
.text C:\WINDOWS\system32\svchost.exe[788] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00070694
.text C:\WINDOWS\system32\svchost.exe[788] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 000702C0
.text C:\WINDOWS\system32\svchost.exe[788] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00070234
.text C:\WINDOWS\system32\svchost.exe[788] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0007011C
.text C:\WINDOWS\system32\svchost.exe[788] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00070004
.text C:\WINDOWS\system32\svchost.exe[788] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 000701A8
.text C:\WINDOWS\system32\svchost.exe[788] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 000704F0
.text C:\WINDOWS\system32\svchost.exe[788] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0007057C
.text C:\WINDOWS\system32\svchost.exe[788] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 000703D8
.text C:\WINDOWS\system32\svchost.exe[788] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0007034C
.text C:\WINDOWS\system32\svchost.exe[788] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00070464
.text C:\WINDOWS\system32\svchost.exe[788] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00070608
.text C:\WINDOWS\system32\svchost.exe[788] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00070720
.text C:\WINDOWS\system32\svchost.exe[788] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 000707AC
.text C:\WINDOWS\system32\svchost.exe[788] WS2_32.dll!bind 719FC328 5 Bytes JMP 00070838
.text C:\WINDOWS\system32\svchost.exe[788] WS2_32.dll!connect 719FC3AF 5 Bytes JMP 00070950
.text C:\WINDOWS\system32\svchost.exe[788] WS2_32.dll!socket 719FD159 5 Bytes JMP 000708C4
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] WS2_32.dll!bind 719FC328 5 Bytes JMP 00130838
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] WS2_32.dll!connect 719FC3AF 5 Bytes JMP 00130950
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] WS2_32.dll!socket 719FD159 5 Bytes JMP 001308C4
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\WINDOWS\system32\svchost.exe[852] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00070090
.text C:\WINDOWS\system32\svchost.exe[852] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00070694
.text C:\WINDOWS\system32\svchost.exe[852] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 000702C0
.text C:\WINDOWS\system32\svchost.exe[852] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00070234
.text C:\WINDOWS\system32\svchost.exe[852] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0007011C
.text C:\WINDOWS\system32\svchost.exe[852] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00070004
.text C:\WINDOWS\system32\svchost.exe[852] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 000701A8
.text C:\WINDOWS\system32\svchost.exe[852] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 000704F0
.text C:\WINDOWS\system32\svchost.exe[852] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0007057C
.text C:\WINDOWS\system32\svchost.exe[852] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 000703D8
.text C:\WINDOWS\system32\svchost.exe[852] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0007034C
.text C:\WINDOWS\system32\svchost.exe[852] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00070464
.text C:\WINDOWS\system32\svchost.exe[852] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00070608
.text C:\WINDOWS\system32\svchost.exe[852] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00070720
.text C:\WINDOWS\system32\svchost.exe[852] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 000707AC
.text C:\WINDOWS\system32\svchost.exe[852] WS2_32.dll!bind 719FC328 5 Bytes JMP 00070838
.text C:\WINDOWS\system32\svchost.exe[852] WS2_32.dll!connect 719FC3AF 5 Bytes JMP 00070950
.text C:\WINDOWS\system32\svchost.exe[852] WS2_32.dll!socket 719FD159 5 Bytes JMP 000708C4
.text C:\WINDOWS\system32\svchost.exe[852] WININET.dll!InternetOpenA 63017790 5 Bytes JMP 00070D24
.text C:\WINDOWS\system32\svchost.exe[852] WININET.dll!InternetConnectA 63017988 5 Bytes JMP 00070F54
.text C:\WINDOWS\system32\svchost.exe[852] WININET.dll!InternetOpenUrlA 63017F59 5 Bytes JMP 00070E3C
.text C:\WINDOWS\system32\svchost.exe[852] WININET.dll!InternetOpenW 6301A0E4 5 Bytes JMP 00070DB0
.text C:\WINDOWS\system32\svchost.exe[852] WININET.dll!InternetConnectW 6301A261 5 Bytes JMP 00070FE0
.text C:\WINDOWS\system32\svchost.exe[852] WININET.dll!InternetOpenUrlW 6301A3FB 5 Bytes JMP 00070EC8
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] user32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] user32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\WINDOWS\AGRSMMSG.exe[976] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\WINDOWS\AGRSMMSG.exe[976] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\WINDOWS\AGRSMMSG.exe[976] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\WINDOWS\AGRSMMSG.exe[976] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\WINDOWS\AGRSMMSG.exe[976] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\WINDOWS\AGRSMMSG.exe[976] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\WINDOWS\AGRSMMSG.exe[976] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\WINDOWS\AGRSMMSG.exe[976] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\WINDOWS\AGRSMMSG.exe[976] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\WINDOWS\AGRSMMSG.exe[976] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\WINDOWS\AGRSMMSG.exe[976] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\WINDOWS\AGRSMMSG.exe[976] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\WINDOWS\AGRSMMSG.exe[976] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\WINDOWS\AGRSMMSG.exe[976] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\WINDOWS\AGRSMMSG.exe[976] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\Program Files\ltmoh\Ltmoh.exe[984] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\Program Files\ltmoh\Ltmoh.exe[984] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\Program Files\ltmoh\Ltmoh.exe[984] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\Program Files\ltmoh\Ltmoh.exe[984] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\Program Files\ltmoh\Ltmoh.exe[984] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\Program Files\ltmoh\Ltmoh.exe[984] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\Program Files\ltmoh\Ltmoh.exe[984] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\Program Files\ltmoh\Ltmoh.exe[984] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\Program Files\ltmoh\Ltmoh.exe[984] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\Program Files\ltmoh\Ltmoh.exe[984] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\Program Files\ltmoh\Ltmoh.exe[984] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\Program Files\ltmoh\Ltmoh.exe[984] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\Program Files\ltmoh\Ltmoh.exe[984] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\Program Files\ltmoh\Ltmoh.exe[984] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\Program Files\ltmoh\Ltmoh.exe[984] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00070090
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00070694
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 000702C0
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00070234
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0007011C
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00070004
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 000701A8
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 000704F0
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0007057C
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 000703D8
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0007034C
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00070464
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00070608
.text C:\WINDOWS\system32\svchost.exe[996] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00070720
.text C:\WINDOWS\system32\svchost.exe[996] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 000707AC
.text C:\WINDOWS\system32\svchost.exe[996] WS2_32.dll!bind 719FC328 5 Bytes JMP 00070838
.text C:\WINDOWS\system32\svchost.exe[996] WS2_32.dll!connect 719FC3AF 5 Bytes JMP 00070950
.text C:\WINDOWS\system32\svchost.exe[996] WS2_32.dll!socket 719FD159 5 Bytes JMP 000708C4
.text C:\WINDOWS\system32\svchost.exe[1024] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00070090
.text C:\WINDOWS\system32\svchost.exe[1024] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00070694
.text C:\WINDOWS\system32\svchost.exe[1024] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 000702C0
.text C:\WINDOWS\system32\svchost.exe[1024] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00070234
.text C:\WINDOWS\system32\svchost.exe[1024] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0007011C
.text C:\WINDOWS\system32\svchost.exe[1024] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00070004
.text C:\WINDOWS\system32\svchost.exe[1024] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 000701A8
.text C:\WINDOWS\system32\svchost.exe[1024] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 000704F0
.text C:\WINDOWS\system32\svchost.exe[1024] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0007057C
.text C:\WINDOWS\system32\svchost.exe[1024] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 000703D8
.text C:\WINDOWS\system32\svchost.exe[1024] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0007034C
.text C:\WINDOWS\system32\svchost.exe[1024] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00070464
.text C:\WINDOWS\system32\svchost.exe[1024] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00070608
.text C:\WINDOWS\system32\svchost.exe[1024] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00070720
.text C:\WINDOWS\system32\svchost.exe[1024] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 000707AC
.text C:\WINDOWS\system32\svchost.exe[1024] WS2_32.dll!bind 719FC328 5 Bytes JMP 00070838
.text C:\WINDOWS\system32\svchost.exe[1024] WS2_32.dll!connect 719FC3AF 5 Bytes JMP 00070950
.text C:\WINDOWS\system32\svchost.exe[1024] WS2_32.dll!socket 719FD159 5 Bytes JMP 000708C4
.text C:\WINDOWS\system32\svchost.exe[1024] WININET.dll!InternetOpenA 63017790 5 Bytes JMP 00070D24
.text C:\WINDOWS\system32\svchost.exe[1024] WININET.dll!InternetConnectA 63017988 5 Bytes JMP 00070F54
.text C:\WINDOWS\system32\svchost.exe[1024] WININET.dll!InternetOpenUrlA 63017F59 5 Bytes JMP 00070E3C
.text C:\WINDOWS\system32\svchost.exe[1024] WININET.dll!InternetOpenW 6301A0E4 5 Bytes JMP 00070DB0
.text C:\WINDOWS\system32\svchost.exe[1024] WININET.dll!InternetConnectW 6301A261 5 Bytes JMP 00070FE0
.text C:\WINDOWS\system32\svchost.exe[1024] WININET.dll!InternetOpenUrlW 6301A3FB 5 Bytes JMP 00070EC8
.text C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe[1120] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe[1120] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe[1120] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe[1120] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe[1120] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe[1120] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe[1120] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe[1120] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe[1120] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe[1120] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe[1120] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe[1120] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\Program Files\ZTE
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
Bonjour,

Maintenant :

Utilisation ----- option 2 -Nettoyage :

* Redémarre l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage ou http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924


* Double clique sur smitfraudfix.cmd


* Sélectionne 2 pour supprimer les fichiers responsables de l'infection.


A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté.

A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

* Redémarre en mode normal et poste le rapport ici

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
Attention que l'option 2 de l'outil supprime le fond d'écran !

puis

lance HijackThis, et coche puis fixe :

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O4 - HKLM\..\Run: [AutoSys] C:\WINDOWS\System32\autosys.exe


puis

relance HijackThis > "Open the misc tool section" > "Delete a file on reboot"
-> dans la fenêtre qui s'ouvre, colle ce chemin :
C:\WINDOWS\system32\autosys.exe
puis clique sur "Ouvrir"
Valide le message, mais ne redémarre pas maintenant, recommence avec ce chemin :

c:\secure32.html

ensuite, valide et l'ordinateur va redémarrer (sinon fais-le toi-même)

reviens avec le rapport de l'option 2 de smitfraud et un nouveau rapport hijackthis
Messages postés
23
Date d'inscription
lundi 22 janvier 2007
Statut
Membre
Dernière intervention
10 janvier 2014

Salut Philae,

J'ai toujours des infections qui se manifestent...

SmitFraudFix v2.133

Rapport fait à 21:50:36,37, 24/01/2007
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\secure32.html supprimé
C:\WINDOWS\system32\autosys.exe supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



Et le log Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 22:06:24, on 24/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\Program Files\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\WANADOO\TaskBarIcon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\wpablan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\ctpmon.exe
C:\WINDOWS\System32\ctpmon.exe
C:\WINDOWS\System32\autosys.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Elisabeth Debray\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Install5G] E:\Install.exe /SI=30
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\GestMaj.exe EspaceWanadoo.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Install Driver Manager (Install Driver Table Manager) - Unknown owner - C:\WINDOWS\wpablan.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
re

Telecharge: Pocket Killbox
http://www.downloads.subratam.org/killBox.exe

puis

lance hijackthis et coche puis fixe :

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll

puis

1- Double-clic sur KillBox.exe
2- Selectionne "Delete on Reboot"
3 - Dans "Full Path of File to Delete"
copie et colle:
C:\WINDOWS\System32\rpcc.dll 

5- clic sur le rond rouge
6- une fenetre va apparaitre pour confirmation clic sur OUI
7- une seconde fenetre te demande si tu veux redemarrer clic sur OUI

reposte un nouveau rapport hijackthis


Messages postés
23
Date d'inscription
lundi 22 janvier 2007
Statut
Membre
Dernière intervention
10 janvier 2014

Bonjour Philae

J'ai donc suivi ta dernière manip avec Killbox et le dernier rapport Hijackthis donne ça :

Logfile of HijackThis v1.99.1
Scan saved at 08:45:03, on 26/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\Program Files\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\WANADOO\TaskBarIcon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\yciwlb.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\Elisabeth Debray\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe
C:\WINDOWS\System32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Install5G] E:\Install.exe /SI=30
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [lmjvservc] advchjuu.exe
O4 - HKLM\..\Run: [Win32] yciwlb.exe
O4 - HKLM\..\RunServices: [Win32] yciwlb.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [lvcdmsys] C:\WINDOWS\System32\dbbsrcc.exe
O4 - HKCU\..\Run: [llsymvb] C:\WINDOWS\System32\fldmelds.exe
O4 - HKCU\..\Run: [Win32] yciwlb.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Install Driver Manager (Install Driver Table Manager) - Unknown owner - C:\WINDOWS\wpablan.exe (file missing)
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe


Qu'en penses-tu ? J'espère vivement que tout va bientôt rentrer dans l'ordre !!

A+

Arthuro3775
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
Bonsoir,

j'en pense que ce n'est pas clean du tout.

* Télécharge SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe


* Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

* Redémarre ton ordinateur en mode sans échec

* Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.

* Appuie sur Y pour commencer le processus de nettoyage.

Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

* Appuie sur une touche pour redémarrer le PC.

Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum,

avec un nouveau log Hijackthis
Messages postés
23
Date d'inscription
lundi 22 janvier 2007
Statut
Membre
Dernière intervention
10 janvier 2014

Bonsoir Philae

Ci-joint rapport SDFix

SDFix: Version 1.62

26/01/2007 - 23:38:26,83

Microsoft Windows XP [version 5.1.2600]

Running From: C:\Documents and Settings\Elisabeth Debray\Bureau\SDFix

Safe Mode:
Checking Services:

Name:
Install Driver Table Manager

Path:
"C:\WINDOWS\wpablan.exe"

Install Driver Table Manager Deleted

Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

Files will be copied to Backups folder and removed:

C:\WINDOWS\system32\autosys.exe - Deleted
C:\WINDOWS\system32\i - Deleted
C:\WINDOWS\system32\setup_77887.exe - Deleted
C:\WINDOWS\system32\setup_54084.exe - Deleted



Alternate Streams Check:

C:\WINDOWS\system32
No streams found.

Final Check:

Remaining Services:
------------------


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]


Remaining Files:
---------------

Backups Folder: - C:\DOCUME~1\ELISAB~1\Bureau\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

C:\NTDETECT.COM
C:\WINDOWS\system32\NTICDMK32.dll
C:\WINDOWS\wpablan.exe~
C:\WINDOWS\system32\sscmsslv.exe
C:\WINDOWS\system32\mgcplwin.exe
C:\WINDOWS\system32\yciwlb.exe
C:\WINDOWS\system32\cdplayer.exe.manifest
C:\WINDOWS\system32\logonui.exe.manifest
C:\WINDOWS\system32\advchjuu.exe~
C:\WINDOWS\system32\fldmelds.exe~
C:\WINDOWS\system32\dbbsrcc.exe~
C:\hiberfil.sys
C:\MSDOS.SYS
C:\IO.SYS
C:\pagefile.sys

Finished


et un nouveau rapport Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 23:46:10, on 26/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\Program Files\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\WANADOO\TaskBarIcon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Elisabeth Debray\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Install5G] E:\Install.exe /SI=30
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [lmjvservc] advchjuu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [lvcdmsys] C:\WINDOWS\System32\dbbsrcc.exe
O4 - HKCU\..\Run: [llsymvb] C:\WINDOWS\System32\fldmelds.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: xdcxnse - C:\WINDOWS\SYSTEM32\xdcxnse.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe


Apparemment, j'ai déjà une amélioration visible au niveau de la connexion Internet.

Je reste donc à ton écoute.

Salutations

Arthuro3775
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
toujours pas ok

supprime soit avast, soit norton, tu as un antivirus en trop.

puis

relance smitfraud option 1 poste le rapport
Messages postés
23
Date d'inscription
lundi 22 janvier 2007
Statut
Membre
Dernière intervention
10 janvier 2014

J'ai essayé de supprimer Norton (que je pensais avoir désinstallé il y a quelques temps), mais il y a toujours un dossier dans C/Program files que je n'arrive pas à supprimer à cause d'un fichier NAVSHEXT.dll...


Je t'envoie le rapport smitfraud.

Arthuro 3775
Messages postés
23
Date d'inscription
lundi 22 janvier 2007
Statut
Membre
Dernière intervention
10 janvier 2014

Et voila le rapport SmitFraud

SmitFraudFix v2.133

Rapport fait à 0:06:13,16, 27/01/2007
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\secure32.html PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Elisabeth Debray


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Elisabeth Debray\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ELISAB~1\FAVORIS


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Arthuro 3775
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
Maintenant :

Utilisation ----- option 2 -Nettoyage :

* Redémarre l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage ou http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924


* Double clique sur smitfraudfix.cmd


* Sélectionne 2 pour supprimer les fichiers responsables de l'infection.


A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté.

A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

* Redémarre en mode normal et poste le rapport ici

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
Attention que l'option 2 de l'outil supprime le fond d'écran !

et


Télécharge Clean.zip (de Malekal),
http://www.malekal.com/download/clean.zip

Décompresse-le sur ton bureau (Clique-Droit/Extraire tout), tu dois obtenir un dossier Clean.
Ouvre le dossier clean, double-clique sur clean.cmd.
Choisis l'option 1 puis patiente. Poste ensuite le contenu du rapport.
Messages postés
23
Date d'inscription
lundi 22 janvier 2007
Statut
Membre
Dernière intervention
10 janvier 2014

SmitFraudFix v2.133

Rapport fait à 0:21:59,53, 27/01/2007
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\secure32.html supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
Messages postés
23
Date d'inscription
lundi 22 janvier 2007
Statut
Membre
Dernière intervention
10 janvier 2014

Rapport clean par Malekal_morte - http://www.malekal.com
Option 1, executee le 27/01/2007 a 0:30:43,05

*** Recherche de fichiers sur C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Fin du rapport !

A+
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
ok merci,

reposte un rapport hijackthis stp
Messages postés
23
Date d'inscription
lundi 22 janvier 2007
Statut
Membre
Dernière intervention
10 janvier 2014

Logfile of HijackThis v1.99.1
Scan saved at 00:59:02, on 27/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\Program Files\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\WANADOO\TaskBarIcon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\msiexec.exe
C:\Documents and Settings\Elisabeth Debray\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [Install5G] E:\Install.exe /SI=30
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [lmjvservc] advchjuu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [lvcdmsys] C:\WINDOWS\System32\dbbsrcc.exe
O4 - HKCU\..\Run: [llsymvb] C:\WINDOWS\System32\fldmelds.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
re

Télécharge KillBox d'Option^Explicit.
https://www.bleepingcomputer.com/download/linux/

Dézippe le dans un dossier ou sur ton bureau (Clique droit puis Extraire Tout).

Selectionne le texte en gras ci dessous :

c:\windows\system32\advchjuu.exe
C:\WINDOWS\System32\dbbsrcc.exe
C:\WINDOWS\System32\fldmelds.exe


* Clique Droit puis Copier.


-- Ouvre Killbox.exe
-- Choisis "Delete on reboot"
-- Clique sur :
- " File " -> " Paste from Clipboard "
- " All Files "

Pour terminer clique sur la croix blanche sur fond rouge
a la question posée :
" File will be Removed on Reboot, Do you want to reboot now ? "
Répond OUI, un compte à rebours s'enclenche, ton PC va redémarrer.
NOTE: Si tu reçois le message "PendingFileRenameOperations Registry Data has been removed by external process!"
Redémarre ton PC manuellement.

aide pour killbox de Jesses
http://perso.orange.fr/jesses/Docs/Logiciels/KillBox.htm






Messages postés
23
Date d'inscription
lundi 22 janvier 2007
Statut
Membre
Dernière intervention
10 janvier 2014

Bonjour

Je n'ai pas réussi à virer les 3 fichiers .exe d'un coup, donc je les ai enlevés un par un.

Voici le dernier rapport hijackthis que j'ai édité.

Logfile of HijackThis v1.99.1
Scan saved at 10:37:06, on 27/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\Program Files\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\PROGRA~1\WANADOO\TaskBarIcon.exe
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Elisabeth Debray\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [Install5G] E:\Install.exe /SI=30
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [lmjvservc] advchjuu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [lvcdmsys] C:\WINDOWS\System32\dbbsrcc.exe
O4 - HKCU\..\Run: [llsymvb] C:\WINDOWS\System32\fldmelds.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: xdcxnse - C:\WINDOWS\SYSTEM32\xdcxnse.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe


Arthuro3775