[Virus] Infecté par Win32:Sinowal-u et autres

Résolu/Fermé

arthuro3775 Messages postés 23 Date d'inscription lundi 22 janvier 2007 Statut Membre Dernière intervention 10 janvier 2014 - 22 janv. 2007 à 14:21
totoche44 - 11 mars 2008 à 21:52

Bonjour à tous,

Avast m'a récemment découvert plusieurs infections : Win32:Sinowal-u, Win32:Trojan-gen, Win32:Renos-X et Win32:Small-APN.

Je n'arrive pas à les supprimer.

Est-ce quelqu'un pourrait m'aider ?

Merci d'avance.

J'ai fait un scan avec Hijackthis, si ça peut aider

Logfile of HijackThis v1.99.1
Scan saved at 08:35:57, on 22/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\Program Files\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\autosys.exe
C:\PROGRA~1\WANADOO\TaskBarIcon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\msinnt.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\wpablan.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\ctpmon.exe
C:\WINDOWS\System32\ctpmon.exe
C:\WINDOWS\System32\autosys.exe
C:\Documents and Settings\Elisabeth Debray\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Install5G] E:\Install.exe /SI=30
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AutoSys] C:\WINDOWS\System32\autosys.exe
O4 - HKLM\..\Run: [Win32] msinnt.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunServices: [Win32] msinnt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [Win32] msinnt.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Install Driver Manager (Install Driver Table Manager) - Unknown owner - C:\WINDOWS\wpablan.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

A voir également:

[Virus] Infecté par Win32:Sinowal-u et autres
Svchost.exe virus - Guide
L'ordinateur d'arthur a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? - Forum Virus
L'ordinateur de mustapha a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? - Forum Virus
Win32 pup gen ✓ - Forum Linux / Unix
Faux message virus iphone ✓ - Forum iPhone

29 réponses

Réponse 1 / 29

philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
22 janv. 2007 à 14:57

Bonjour,

* Télécharge SmitfraudFix
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
de S!Ri, balltrap34 et moe31

* Installe le à la racine de C

* double clic sur l'exe pour le décompresser et lancer le fix.
Utilisation ----- option 1 - Recherche :
* Double clique sur smitfraudfix.cmd * Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
* Poste le rapport ici
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

totoche44
11 mars 2008 à 21:52

SmitFraudFix v2.301

Rapport fait à 21:45:58,12, 11/03/2008
Executé à partir de C:\Documents and Settings\V‚ronique\Bureau\T‚lecharg\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\mmhren1.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MESSEN~1\Msmsgs.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
c:\wcbcapm.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\kqziqc.exe
C:\WINDOWS\system32\kcrpah.exe
C:\WINDOWS\system32\fmzhqn.exe
C:\WINDOWS\system32\fmbiin.exe
C:\WINDOWS\system32\qxyneb.exe
C:\WINDOWS\system32\hdgzaf.exe
C:\WINDOWS\system32\vjeoxh.exe
C:\WINDOWS\system32\ixvccj.exe
C:\WINDOWS\system32\rrcuao.exe
C:\WINDOWS\system32\kzjdno.exe
C:\WINDOWS\system32\lvfpid.exe
C:\WINDOWS\system32\nrinpd.exe
C:\WINDOWS\system32\bjshxb.exe
C:\WINDOWS\system32\ppjwud.exe
c:\rctouc.exe
C:\WINDOWS\system32\axdnnn.exe
c:\rctouc.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\default.htm PRESENT !
C:\WINDOWS\keyboard1.dat PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\mgmrwmrv.exe PRESENT !
C:\WINDOWS\system32\winfrun32.bin PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\V‚ronique

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\V‚ronique\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\VRONIQ~1\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\Helper\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{48F7EAB3-4F5A-4BCB-9EE2-625FE21B3BA0}: NameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{8C746F30-37C6-43A5-9EBE-880B69DA34CB}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{48F7EAB3-4F5A-4BCB-9EE2-625FE21B3BA0}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8C746F30-37C6-43A5-9EBE-880B69DA34CB}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{48F7EAB3-4F5A-4BCB-9EE2-625FE21B3BA0}: NameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8C746F30-37C6-43A5-9EBE-880B69DA34CB}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Réponse 2 / 29

iceman6259 Messages postés 301 Date d'inscription lundi 21 mars 2005 Statut Membre Dernière intervention 13 avril 2007 11
22 janv. 2007 à 15:13

salut,

déja, mets à jour IE. Tu as la v6, passe à la v7 via WU :)

ensuite :

relance hijackthis en mode "scan only" et coche ceci :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

O4 - HKLM\..\Run: [AutoSys] C:\WINDOWS\System32\autosys.exe

Ensuite, en bas, clique sur Fix It !

***************************************************************

maintenant, appui sur ctrl + alt + supp, et une fenetre s'ouvriera.
clique sur processus, et cherche ceux-ci (y'en a surement 2 !!) :

<b>autosys.exe</b>

Clique droit dessus, et fait fermer le processus.

Ensuite, Ouvre le Poste de travail > Outils > Options des dossiers > Affichage.
Coche la case "Afficher les fichiers et dossiers cachés".
Décoche la case "Masquer les extensions des fichiers dont le type est connu".

Puis, dans l'explorateur de windows, recherche ceci et supprime ce qui est en gras !!

C:\WINDOWS\system32\<b>autosys.exe</b>

***************************************************************
maintenant, Ccleaner :

https://www.pcastuces.com/logitheque/ccleaner.htm

¤ Lance CCleaner.

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé)
• Clique sur Analyse
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur Lancer le Nettoyage

Suppression des incohérence du registre

• Clique sur l'icône Erreurs situés dans la marge à gauche.
• Puis clique sur Analyser les erreurs
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur Corriger les erreurs.

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.

***********************************************************************

Vide ta corbeille

***********************************************************************
ensuite,

Télécharge ceci :http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Execute-le.
Choisi l'option 1.
Un rapport va se créer ici : C:\rapport.txt
Copie-colle le ici.

***********************************************************************

Redémarre ton pc en mode sans échec (Tapote sur F8 jusqu'à l'apparition de l'écran de choix, passe toi sur mode sans echec, puis Entrer).
Relance le programme, et choisi l'option 2 cette fois.

Après le scan, un log va se créer ici : C:\rapport.txt

Le pc va redémarrer.

Copie-colle le rapport ici, avec un log Hijackthis.

***********************************************************************

Avant dernière étape :

Tu télécharges AVG anti-spyware (gratuit même après la période d'essai) ici :

http://www.grisoft.com/doc/downloads-results/lng/fr/tpl/tpl01?prd=triasw

Tu enregistres le fichier dans un dossier.

A la fin du téléchargement, tu ouvres le dossier et tu doubles click sur avgas-setup-7.5.0.47.exe Tu suis les instructions.

Si on te demande de redémarrer ton ordinateur, tu le fais.

Pour lancer AVG anti spyware tu doubles click sur l'icone qui s'est créé sur le bureau.

La première fois que tu l'utilises, tu configures le logiciel.
Sur la page "état", tu choisis inactif pour le bouclier résident.

Sur la page "mise à jour", tu coches les cases sur les mises à jour automatiques et tu fais une mise à jour manuelle (commencer la mise à jour). Tu redémarres l'ordinateur si nécessaire.
Sur la page "analyse", tu choisis d'abord l'onglet "paramètres". Tu coches "générer un rapport après chaque analyse" et "uniquement en cas de menaces". Tu choisis aussi l'option "quarantaine" pour "comment réagir", 'définir l'action par défaut ...'
Tu choisis l'onglet analyser, nouvelle analyse, analyse complète du système.
Aa fin de l'analyse, tu cliques sur "action", "appliquer toutes les actions" puis "enregistrer le rapport" puis "enregistrer le rapport sous". Tu suis les instructions dans la fenêtre qui s'ouvre.
Ensuite, tu ouvres le rapport avec le bloc-notes pour le copier/coller avec ta réponse.

***********************************************************************

Enfin, pour terminer, refait un log Hijackthis et copie/colle le ici

bon courage à toi .

Pour info, quand tu es en mode sans echec, tu n'as pu accés au net.

Pense à imprimer cela, ou le recopier, au moins la partie sans connexion :)

Bon courage.

@+

Iceman6259

arthuro3775 Messages postés 23 Date d'inscription lundi 22 janvier 2007 Statut Membre Dernière intervention 10 janvier 2014
23 janv. 2007 à 09:34

Bonjour Iceman et merci de ta réponse,

Donc le premier scan de SmitFraudFix donne ça :

SmitFraudFix v2.133

Rapport fait à 22:07:44,00, 22/01/2007
Executé à partir de C:\Documents and Settings\Elisabeth Debray\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\autosys.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Elisabeth Debray

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Elisabeth Debray\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ELISAB~1\FAVORIS

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

pe386 détecté, utilisez un scanner de Rootkit

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Le deuxième rapport de SmitFraudFix (en mode sans échec) donne ça :

SmitFraudFix v2.133

Rapport fait à 22:12:48,85, 22/01/2007
Executé à partir de C:\Documents and Settings\Elisabeth Debray\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\autosys.exe supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Le log Hijackthis donne ça :

Logfile of HijackThis v1.99.1
Scan saved at 22:18:31, on 22/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\Program Files\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\WANADOO\TaskBarIcon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\PROGRA~1\WANADOO\ComComp.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\wpablan.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\ctpmon.exe
C:\WINDOWS\System32\ctpmon.exe
C:\WINDOWS\System32\autosys.exe
C:\Documents and Settings\Elisabeth Debray\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Install5G] E:\Install.exe /SI=30
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [AutoSys] C:\WINDOWS\System32\autosys.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\GestMaj.exe EspaceWanadoo.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Install Driver Manager (Install Driver Table Manager) - Unknown owner - C:\WINDOWS\wpablan.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

Résultat apparent : Avast détecte encore plusieurs infections, mais apparemment moins.

Je suis actuellement en train de faire le scan avec AVG, mais le PC rame énormément. AVG me prend 100% de la mémoire de l'UC, et le programme n'est pas arrivé à récupérer toutes les mises à jour.
Si le scan aboutit je posterai le rapport ce soir avec un nouveau log de Hijackthis.

Encore merci de ton aide.

Arthuro3775

Réponse 3 / 29

iceman6259 Messages postés 301 Date d'inscription lundi 21 mars 2005 Statut Membre Dernière intervention 13 avril 2007 11
22 janv. 2007 à 15:14

ok, je te laisse faire alors philae ??

désolé, ce fut long à ecrire...

Réponse 4 / 29

philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
22 janv. 2007 à 15:18

bonjour iceman, décidement, on se retrouve de partout.
Non vas y tu as plus avancé que moi

iceman6259 Messages postés 301 Date d'inscription lundi 21 mars 2005 Statut Membre Dernière intervention 13 avril 2007 11
22 janv. 2007 à 15:20

ok, tu me supervise quand même un peu ?? ^^

désolé encore... ca devient régulier ...

philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206 > iceman6259 Messages postés 301 Date d'inscription lundi 21 mars 2005 Statut Membre Dernière intervention 13 avril 2007
22 janv. 2007 à 15:22

ok, tu me supervise quand même un peu ?? ^^

pourquoi tu en as besoin ?

iceman6259 Messages postés 301 Date d'inscription lundi 21 mars 2005 Statut Membre Dernière intervention 13 avril 2007 11 > philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009
22 janv. 2007 à 16:49

ca évite de faire des erreurs notament dans l'interprétation des résultats.

Et je suis relativement jeune helper !! Même si j'ai déjà des "aides" d'autres helpers. Ca me rassure ^^

Mais sinon, t'inquiète pas, je pense etre capable, et de demander si besoin :)

Mais sinon, t'inquiète pas, je pense etre capable, et de demander si besoin :)

je ne m'inquiète pas du tout. Bonne continuation

arthuro3775 Messages postés 23 Date d'inscription lundi 22 janvier 2007 Statut Membre Dernière intervention 10 janvier 2014 > philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009
23 janv. 2007 à 15:02

Salut Philae

J'ai suivi les manips préconisées par Iceman et posté les logs demandés de Smitfraudfix.

Tu saurais analyser les rapports (post 9) et me dire si c'est grave ?

Thanks

Arthuro3775

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 29

philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
23 janv. 2007 à 15:36

bonjour,

visiblement iceman n'est pas encore présent, je continue

ce n'est toujours pas bon

* Télécharge ce fichier (par ejvindh)
http://www.uploads.ejvindh.net/rustbfix.exe
* sauvegarde-le sur ton Bureau.

* Double clique rustbfix.exe afin de lancer l'outil.
Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
* Copie colle le contenu de ces deux rapports, ainsi qu'un nouveau log HijackThis

Réponse 6 / 29

iceman6259 Messages postés 301 Date d'inscription lundi 21 mars 2005 Statut Membre Dernière intervention 13 avril 2007 11
23 janv. 2007 à 19:29

désolé... je fus absent hier et aujourd'hui, mais je reviens !! désolé encore et MERCI à philae :)

J'ai bien fait de te dire de superviser :)

Et te demanderais donc de continuer au cas ou :)

encore désolé.

@+

Iceman6259

philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
23 janv. 2007 à 19:31

coucou iceman,

c'est surtout que je reçois les notif d'email sinon je ne l'aurais pas vu.
je te relaisse la place :)

ok, merci.

Mais si ca te dérange pas, continu de regarder quand même, et d'intervenir si j'ai pas vu quelque chose ou autre...

Ca me rassure :)

Mais quand même, un grand Merci ;)

OK
il serait bien que notre ami arthuro3775 revienne continuer son problème n'étant pas solutionner

Réponse 7 / 29

iceman6259 Messages postés 301 Date d'inscription lundi 21 mars 2005 Statut Membre Dernière intervention 13 avril 2007 11
23 janv. 2007 à 21:36

oui. mais je patienterais ^^

il a du l'etre avec moi non?? lol

@+

philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
23 janv. 2007 à 21:37

certes, on ne peut être H24 derrière son pc, et heureusement d'ailleurs

arthuro3775 > philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009
23 janv. 2007 à 21:43

Désolé je viens juste de rentrer.

Donc bonsoir.

J'ai installé rustbfix

Le rapport avenger donne :

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\avxlpyso

*******************

Script file located at: \??\C:\WINDOWS\nfelnxmr.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver PE386 unloaded successfully.
Program C:\Rustbfix\2run.bat successfully set up to run once on reboot.

Completed script processing.

*******************

Finished! Terminate.

Et le rapport pelog.txt dit qu'il n'y a pas d'infection rustock.

C'est donc le statu quo.

Que faire ?

Arthuro3775
ntrer.

Réponse 8 / 29

iceman6259 Messages postés 301 Date d'inscription lundi 21 mars 2005 Statut Membre Dernière intervention 13 avril 2007 11
23 janv. 2007 à 22:01

Salut, on t'attendait ^^

bon, je vais bientot epuiser mes armes !!

philae, tu as un canned pour brutus stp?? j'en ai pas sous la main (en mp) ;)

Arthuro3775 :

Va sur ce lien et télécharge Blacklight(de F-Secure) :
< https://www.f-secure.com/en > et sauvegarde le sur ton Bureau
Consulte le tuto de Malekal_morte ici :
< https://www.malekal.com/tutorial-f-secure-blacklight/ >
Tu suis le tuto pour la phase 1 (scan) et tu postes le rapport de blacklight dans ta réponse.

@+

arthuro3775 Messages postés 23 Date d'inscription lundi 22 janvier 2007 Statut Membre Dernière intervention 10 janvier 2014
23 janv. 2007 à 22:10

Ecco

01/23/07 22:06:38 [Info]: BlackLight Engine 1.0.55 initialized
01/23/07 22:06:38 [Info]: OS: 5.1 build 2600 (Service Pack 1)
01/23/07 22:06:39 [Note]: 7019 4
01/23/07 22:06:39 [Note]: 7005 0
01/23/07 22:06:47 [Note]: 7006 0
01/23/07 22:06:47 [Note]: 7011 1332
01/23/07 22:06:48 [Note]: 7026 0
01/23/07 22:06:48 [Note]: 7026 0
01/23/07 22:07:20 [Note]: FSRAW library version 1.7.1021
01/23/07 22:08:03 [Note]: 2000 1012
01/23/07 22:08:03 [Note]: 2000 1012
01/23/07 22:08:03 [Note]: 2000 1012
01/23/07 22:08:26 [Note]: 7007 0

philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
23 janv. 2007 à 22:41

iceman, va voir tes MP

Réponse 9 / 29

iceman6259 Messages postés 301 Date d'inscription lundi 21 mars 2005 Statut Membre Dernière intervention 13 avril 2007 11
23 janv. 2007 à 22:54

peux-tu repasser un coup de smitfraudfix stp??

Bonjour,

* Télécharge SmitfraudFix
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
de S!Ri, balltrap34 et moe31

* Installe le à la racine de C

* double clic sur l'exe pour le décompresser et lancer le fix.
Utilisation ----- option 1 - Recherche :
* Double clique sur smitfraudfix.cmd * Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
* Poste le rapport ici
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

@+

arthuro3775 Messages postés 23 Date d'inscription lundi 22 janvier 2007 Statut Membre Dernière intervention 10 janvier 2014
24 janv. 2007 à 08:45

Bonjour Iceman

Ci-joint rapport Smitfraudfix

SmitFraudFix v2.133

Rapport fait à 8:43:37,82, 24/01/2007
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\secure32.html PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\autosys.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Elisabeth Debray

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Elisabeth Debray\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ELISAB~1\FAVORIS

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Réponse 10 / 29

iceman6259 Messages postés 301 Date d'inscription lundi 21 mars 2005 Statut Membre Dernière intervention 13 avril 2007 11
23 janv. 2007 à 23:12

Télécharge ceci et suit la procédure stp.

Télécharge gmer : https://www.majorgeeks.com/files/details/gmer.html
Déconnecte toi d'internet si possible et ferme tous les programmes.
Décompresse le fichier zip et double-clic sur gmer.exe
IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"

Clic sur Scan
Lorsque le scan est terminé, clic sur "copy"

Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici

Ensuite, je fais un log HJT.

Je recherche le soucis en attendant.

@+

Je reste la un moment si besoin.

arthuro3775 Messages postés 23 Date d'inscription lundi 22 janvier 2007 Statut Membre Dernière intervention 10 janvier 2014
24 janv. 2007 à 09:35

Re-bonjour

Ci-joint rapport de GMER

GMER 1.0.12.12011 - http://www.gmer.net
Rootkit scan 2007-01-24 09:03:59
Windows 5.1.2600 Service Pack 1

---- System - GMER 1.0.12 ----

SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwClose
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwCreateFile
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwCreateKey
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwCreateProcess
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwCreateProcessEx
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwCreateThread
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwDeleteFile
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwDeleteKey
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwDeleteValueKey
SSDT \SystemRoot\system32\drivers\khips.sys ZwLoadDriver
SSDT \SystemRoot\system32\drivers\khips.sys ZwMapViewOfSection
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwOpenFile
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwOpenKey
SSDT \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys ZwOpenProcess
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwResumeThread
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwSetInformationFile
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwSetValueKey
SSDT \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys ZwTerminateProcess
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwWriteFile

---- Kernel code sections - GMER 1.0.12 ----

.text ntoskrnl.exe!_abnormal_termination + DB 804DE68D 3 Bytes [ 99, DA, EE ]
PAGENDSM NDIS.sys!NdisMIndicateStatus F749687D 6 Bytes [ FF, 25, 88, B5, E1, EE ]
.text ntdll.dll!NtClose 77F658AA 5 Bytes JMP 72033FAA
.text ntdll.dll!NtCreateProcess 77F659F4 5 Bytes JMP 72034135
.text ntdll.dll!NtCreateProcessEx 77F65A03 5 Bytes JMP 72034019
.text ntdll.dll!NtCreateSection 77F65A21 5 Bytes JMP 72033FC8

---- User code sections - GMER 1.0.12 ----

.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[280] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] WS2_32.dll!bind 719FC328 5 Bytes JMP 00130838
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] WS2_32.dll!connect 719FC3AF 5 Bytes JMP 00130950
.text C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe[436] WS2_32.dll!socket 719FD159 5 Bytes JMP 001308C4
.text C:\WINDOWS\System32\igfxtray.exe[456] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\WINDOWS\System32\igfxtray.exe[456] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\WINDOWS\System32\igfxtray.exe[456] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\WINDOWS\System32\igfxtray.exe[456] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\WINDOWS\System32\igfxtray.exe[456] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\WINDOWS\System32\igfxtray.exe[456] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\WINDOWS\System32\igfxtray.exe[456] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\WINDOWS\System32\igfxtray.exe[456] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\WINDOWS\System32\igfxtray.exe[456] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\WINDOWS\System32\igfxtray.exe[456] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\WINDOWS\System32\igfxtray.exe[456] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\WINDOWS\System32\igfxtray.exe[456] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\WINDOWS\System32\igfxtray.exe[456] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\WINDOWS\System32\igfxtray.exe[456] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\WINDOWS\System32\igfxtray.exe[456] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\WINDOWS\System32\igfxtray.exe[456] wininet.dll!InternetOpenA 63017790 5 Bytes JMP 00130D24
.text C:\WINDOWS\System32\igfxtray.exe[456] wininet.dll!InternetConnectA 63017988 5 Bytes JMP 00130F54
.text C:\WINDOWS\System32\igfxtray.exe[456] wininet.dll!InternetOpenUrlA 63017F59 5 Bytes JMP 00130E3C
.text C:\WINDOWS\System32\igfxtray.exe[456] wininet.dll!InternetOpenW 6301A0E4 5 Bytes JMP 00130DB0
.text C:\WINDOWS\System32\igfxtray.exe[456] wininet.dll!InternetConnectW 6301A261 5 Bytes JMP 00130FE0
.text C:\WINDOWS\System32\igfxtray.exe[456] wininet.dll!InternetOpenUrlW 6301A3FB 5 Bytes JMP 00130EC8
.text C:\WINDOWS\System32\igfxtray.exe[456] WS2_32.dll!bind 719FC328 5 Bytes JMP 00130838
.text C:\WINDOWS\System32\igfxtray.exe[456] WS2_32.dll!connect 719FC3AF 5 Bytes JMP 00130950
.text C:\WINDOWS\System32\igfxtray.exe[456] WS2_32.dll!socket 719FD159 5 Bytes JMP 001308C4
.text C:\WINDOWS\System32\hkcmd.exe[468] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\WINDOWS\System32\hkcmd.exe[468] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\WINDOWS\System32\hkcmd.exe[468] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\WINDOWS\System32\hkcmd.exe[468] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\WINDOWS\System32\hkcmd.exe[468] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\WINDOWS\System32\hkcmd.exe[468] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\WINDOWS\System32\hkcmd.exe[468] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\WINDOWS\System32\hkcmd.exe[468] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\WINDOWS\System32\hkcmd.exe[468] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\WINDOWS\System32\hkcmd.exe[468] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\WINDOWS\System32\hkcmd.exe[468] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\WINDOWS\System32\hkcmd.exe[468] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\WINDOWS\System32\hkcmd.exe[468] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\WINDOWS\System32\hkcmd.exe[468] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\WINDOWS\System32\hkcmd.exe[468] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\WINDOWS\System32\hkcmd.exe[468] wininet.dll!InternetOpenA 63017790 5 Bytes JMP 00130D24
.text C:\WINDOWS\System32\hkcmd.exe[468] wininet.dll!InternetConnectA 63017988 5 Bytes JMP 00130F54
.text C:\WINDOWS\System32\hkcmd.exe[468] wininet.dll!InternetOpenUrlA 63017F59 5 Bytes JMP 00130E3C
.text C:\WINDOWS\System32\hkcmd.exe[468] wininet.dll!InternetOpenW 6301A0E4 5 Bytes JMP 00130DB0
.text C:\WINDOWS\System32\hkcmd.exe[468] wininet.dll!InternetConnectW 6301A261 5 Bytes JMP 00130FE0
.text C:\WINDOWS\System32\hkcmd.exe[468] wininet.dll!InternetOpenUrlW 6301A3FB 5 Bytes JMP 00130EC8
.text C:\WINDOWS\System32\hkcmd.exe[468] WS2_32.dll!bind 719FC328 5 Bytes JMP 00130838
.text C:\WINDOWS\System32\hkcmd.exe[468] WS2_32.dll!connect 719FC3AF 5 Bytes JMP 00130950
.text C:\WINDOWS\System32\hkcmd.exe[468] WS2_32.dll!socket 719FD159 5 Bytes JMP 001308C4
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\Program Files\Synaptics\SynTP\SynTPLpr.exe[496] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\Progra~1\Launch Manager\LaunchAp.exe[520] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\Progra~1\Launch Manager\HotkeyApp.exe[528] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\Progra~1\Launch Manager\PowerKey.exe[532] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\WINDOWS\system32\csrss.exe[544] KERNEL32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00160090
.text C:\WINDOWS\system32\csrss.exe[544] KERNEL32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00160694
.text C:\WINDOWS\system32\csrss.exe[544] KERNEL32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001602C0
.text C:\WINDOWS\system32\csrss.exe[544] KERNEL32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00160234
.text C:\WINDOWS\system32\csrss.exe[544] KERNEL32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0016011C
.text C:\WINDOWS\system32\csrss.exe[544] KERNEL32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00160004
.text C:\WINDOWS\system32\csrss.exe[544] KERNEL32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001601A8
.text C:\WINDOWS\system32\csrss.exe[544] KERNEL32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001604F0
.text C:\WINDOWS\system32\csrss.exe[544] KERNEL32.dll!CreateThread 77E50049 5 Bytes JMP 0016057C
.text C:\WINDOWS\system32\csrss.exe[544] KERNEL32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001603D8
.text C:\WINDOWS\system32\csrss.exe[544] KERNEL32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0016034C
.text C:\WINDOWS\system32\csrss.exe[544] KERNEL32.dll!WinExec 77E62CF5 5 Bytes JMP 00160464
.text C:\WINDOWS\system32\csrss.exe[544] KERNEL32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00160608
.text C:\WINDOWS\system32\csrss.exe[544] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00160720
.text C:\WINDOWS\system32\csrss.exe[544] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001607AC
.text C:\WINDOWS\system32\winlogon.exe[568] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00070090
.text C:\WINDOWS\system32\winlogon.exe[568] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00070694
.text C:\WINDOWS\system32\winlogon.exe[568] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 000702C0
.text C:\WINDOWS\system32\winlogon.exe[568] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00070234
.text C:\WINDOWS\system32\winlogon.exe[568] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0007011C
.text C:\WINDOWS\system32\winlogon.exe[568] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00070004
.text C:\WINDOWS\system32\winlogon.exe[568] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 000701A8
.text C:\WINDOWS\system32\winlogon.exe[568] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 000704F0
.text C:\WINDOWS\system32\winlogon.exe[568] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0007057C
.text C:\WINDOWS\system32\winlogon.exe[568] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 000703D8
.text C:\WINDOWS\system32\winlogon.exe[568] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0007034C
.text C:\WINDOWS\system32\winlogon.exe[568] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00070464
.text C:\WINDOWS\system32\winlogon.exe[568] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00070608
.text C:\WINDOWS\system32\winlogon.exe[568] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00070720
.text C:\WINDOWS\system32\winlogon.exe[568] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 000707AC
.text C:\WINDOWS\system32\winlogon.exe[568] WS2_32.dll!bind 719FC328 5 Bytes JMP 00070838
.text C:\WINDOWS\system32\winlogon.exe[568] WS2_32.dll!connect 719FC3AF 5 Bytes JMP 00070950
.text C:\WINDOWS\system32\winlogon.exe[568] WS2_32.dll!socket 719FD159 5 Bytes JMP 000708C4
.text C:\WINDOWS\system32\services.exe[612] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00070090
.text C:\WINDOWS\system32\services.exe[612] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00070694
.text C:\WINDOWS\system32\services.exe[612] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 000702C0
.text C:\WINDOWS\system32\services.exe[612] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00070234
.text C:\WINDOWS\system32\services.exe[612] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0007011C
.text C:\WINDOWS\system32\services.exe[612] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00070004
.text C:\WINDOWS\system32\services.exe[612] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 000701A8
.text C:\WINDOWS\system32\services.exe[612] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 000704F0
.text C:\WINDOWS\system32\services.exe[612] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0007057C
.text C:\WINDOWS\system32\services.exe[612] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 000703D8
.text C:\WINDOWS\system32\services.exe[612] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0007034C
.text C:\WINDOWS\system32\services.exe[612] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00070464
.text C:\WINDOWS\system32\services.exe[612] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00070608
.text C:\WINDOWS\system32\services.exe[612] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00070720
.text C:\WINDOWS\system32\services.exe[612] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 000707AC
.text C:\WINDOWS\system32\services.exe[612] WS2_32.dll!bind 719FC328 5 Bytes JMP 00070838
.text C:\WINDOWS\system32\services.exe[612] WS2_32.dll!connect 719FC3AF 5 Bytes JMP 00070950
.text C:\WINDOWS\system32\services.exe[612] WS2_32.dll!socket 719FD159 5 Bytes JMP 000708C4
.text C:\WINDOWS\system32\lsass.exe[624] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00070090
.text C:\WINDOWS\system32\lsass.exe[624] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00070694
.text C:\WINDOWS\system32\lsass.exe[624] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 000702C0
.text C:\WINDOWS\system32\lsass.exe[624] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00070234
.text C:\WINDOWS\system32\lsass.exe[624] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0007011C
.text C:\WINDOWS\system32\lsass.exe[624] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00070004
.text C:\WINDOWS\system32\lsass.exe[624] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 000701A8
.text C:\WINDOWS\system32\lsass.exe[624] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 000704F0
.text C:\WINDOWS\system32\lsass.exe[624] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0007057C
.text C:\WINDOWS\system32\lsass.exe[624] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 000703D8
.text C:\WINDOWS\system32\lsass.exe[624] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0007034C
.text C:\WINDOWS\system32\lsass.exe[624] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00070464
.text C:\WINDOWS\system32\lsass.exe[624] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00070608
.text C:\WINDOWS\system32\lsass.exe[624] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00070720
.text C:\WINDOWS\system32\lsass.exe[624] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 000707AC
.text C:\WINDOWS\system32\lsass.exe[624] WS2_32.dll!bind 719FC328 5 Bytes JMP 00070838
.text C:\WINDOWS\system32\lsass.exe[624] WS2_32.dll!connect 719FC3AF 5 Bytes JMP 00070950
.text C:\WINDOWS\system32\lsass.exe[624] WS2_32.dll!socket 719FD159 5 Bytes JMP 000708C4
.text C:\Program Files\Internet Explorer\iexplore.exe[712] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\Program Files\Internet Explorer\iexplore.exe[712] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\Program Files\Internet Explorer\iexplore.exe[712] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\Program Files\Internet Explorer\iexplore.exe[712] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\Program Files\Internet Explorer\iexplore.exe[712] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\Program Files\Internet Explorer\iexplore.exe[712] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\Program Files\Internet Explorer\iexplore.exe[712] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\Program Files\Internet Explorer\iexplore.exe[712] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\Program Files\Internet Explorer\iexplore.exe[712] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\Program Files\Internet Explorer\iexplore.exe[712] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\Program Files\Internet Explorer\iexplore.exe[712] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\Program Files\Internet Explorer\iexplore.exe[712] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\Program Files\Internet Explorer\iexplore.exe[712] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\Program Files\Internet Explorer\iexplore.exe[712] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\Program Files\Internet Explorer\iexplore.exe[712] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\Program Files\Internet Explorer\iexplore.exe[712] WININET.dll!InternetOpenA 015C7790 5 Bytes JMP 00130D24
.text C:\Program Files\Internet Explorer\iexplore.exe[712] WININET.dll!InternetConnectA 015C7988 5 Bytes JMP 00130F54
.text C:\Program Files\Internet Explorer\iexplore.exe[712] WININET.dll!InternetOpenUrlA 015C7F59 5 Bytes JMP 00130E3C
.text C:\Program Files\Internet Explorer\iexplore.exe[712] WININET.dll!InternetOpenW 015CA0E4 5 Bytes JMP 00130DB0
.text C:\Program Files\Internet Explorer\iexplore.exe[712] WININET.dll!InternetConnectW 015CA261 5 Bytes JMP 00130FE0
.text C:\Program Files\Internet Explorer\iexplore.exe[712] WININET.dll!InternetOpenUrlW 015CA3FB 5 Bytes JMP 00130EC8
.text C:\Program Files\Internet Explorer\iexplore.exe[712] WS2_32.dll!bind 719FC328 5 Bytes JMP 00130838
.text C:\Program Files\Internet Explorer\iexplore.exe[712] WS2_32.dll!connect 719FC3AF 5 Bytes JMP 00130950
.text C:\Program Files\Internet Explorer\iexplore.exe[712] WS2_32.dll!socket 719FD159 5 Bytes JMP 001308C4
.text C:\WINDOWS\system32\svchost.exe[788] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00070090
.text C:\WINDOWS\system32\svchost.exe[788] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00070694
.text C:\WINDOWS\system32\svchost.exe[788] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 000702C0
.text C:\WINDOWS\system32\svchost.exe[788] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00070234
.text C:\WINDOWS\system32\svchost.exe[788] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0007011C
.text C:\WINDOWS\system32\svchost.exe[788] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00070004
.text C:\WINDOWS\system32\svchost.exe[788] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 000701A8
.text C:\WINDOWS\system32\svchost.exe[788] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 000704F0
.text C:\WINDOWS\system32\svchost.exe[788] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0007057C
.text C:\WINDOWS\system32\svchost.exe[788] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 000703D8
.text C:\WINDOWS\system32\svchost.exe[788] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0007034C
.text C:\WINDOWS\system32\svchost.exe[788] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00070464
.text C:\WINDOWS\system32\svchost.exe[788] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00070608
.text C:\WINDOWS\system32\svchost.exe[788] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00070720
.text C:\WINDOWS\system32\svchost.exe[788] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 000707AC
.text C:\WINDOWS\system32\svchost.exe[788] WS2_32.dll!bind 719FC328 5 Bytes JMP 00070838
.text C:\WINDOWS\system32\svchost.exe[788] WS2_32.dll!connect 719FC3AF 5 Bytes JMP 00070950
.text C:\WINDOWS\system32\svchost.exe[788] WS2_32.dll!socket 719FD159 5 Bytes JMP 000708C4
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] WS2_32.dll!bind 719FC328 5 Bytes JMP 00130838
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] WS2_32.dll!connect 719FC3AF 5 Bytes JMP 00130950
.text C:\Program Files\Alwil Software\Avast4\ashServ.exe[836] WS2_32.dll!socket 719FD159 5 Bytes JMP 001308C4
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\Progra~1\Launch Manager\CtrlVol.exe[844] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\WINDOWS\system32\svchost.exe[852] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00070090
.text C:\WINDOWS\system32\svchost.exe[852] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00070694
.text C:\WINDOWS\system32\svchost.exe[852] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 000702C0
.text C:\WINDOWS\system32\svchost.exe[852] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00070234
.text C:\WINDOWS\system32\svchost.exe[852] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0007011C
.text C:\WINDOWS\system32\svchost.exe[852] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00070004
.text C:\WINDOWS\system32\svchost.exe[852] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 000701A8
.text C:\WINDOWS\system32\svchost.exe[852] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 000704F0
.text C:\WINDOWS\system32\svchost.exe[852] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0007057C
.text C:\WINDOWS\system32\svchost.exe[852] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 000703D8
.text C:\WINDOWS\system32\svchost.exe[852] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0007034C
.text C:\WINDOWS\system32\svchost.exe[852] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00070464
.text C:\WINDOWS\system32\svchost.exe[852] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00070608
.text C:\WINDOWS\system32\svchost.exe[852] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00070720
.text C:\WINDOWS\system32\svchost.exe[852] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 000707AC
.text C:\WINDOWS\system32\svchost.exe[852] WS2_32.dll!bind 719FC328 5 Bytes JMP 00070838
.text C:\WINDOWS\system32\svchost.exe[852] WS2_32.dll!connect 719FC3AF 5 Bytes JMP 00070950
.text C:\WINDOWS\system32\svchost.exe[852] WS2_32.dll!socket 719FD159 5 Bytes JMP 000708C4
.text C:\WINDOWS\system32\svchost.exe[852] WININET.dll!InternetOpenA 63017790 5 Bytes JMP 00070D24
.text C:\WINDOWS\system32\svchost.exe[852] WININET.dll!InternetConnectA 63017988 5 Bytes JMP 00070F54
.text C:\WINDOWS\system32\svchost.exe[852] WININET.dll!InternetOpenUrlA 63017F59 5 Bytes JMP 00070E3C
.text C:\WINDOWS\system32\svchost.exe[852] WININET.dll!InternetOpenW 6301A0E4 5 Bytes JMP 00070DB0
.text C:\WINDOWS\system32\svchost.exe[852] WININET.dll!InternetConnectW 6301A261 5 Bytes JMP 00070FE0
.text C:\WINDOWS\system32\svchost.exe[852] WININET.dll!InternetOpenUrlW 6301A3FB 5 Bytes JMP 00070EC8
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\Progra~1\Launch Manager\Wbutton.exe[932] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] user32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\Program Files\Acer\Notebook Manager\almxptray.exe[956] user32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\WINDOWS\AGRSMMSG.exe[976] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\WINDOWS\AGRSMMSG.exe[976] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\WINDOWS\AGRSMMSG.exe[976] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\WINDOWS\AGRSMMSG.exe[976] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\WINDOWS\AGRSMMSG.exe[976] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\WINDOWS\AGRSMMSG.exe[976] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\WINDOWS\AGRSMMSG.exe[976] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\WINDOWS\AGRSMMSG.exe[976] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\WINDOWS\AGRSMMSG.exe[976] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\WINDOWS\AGRSMMSG.exe[976] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\WINDOWS\AGRSMMSG.exe[976] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\WINDOWS\AGRSMMSG.exe[976] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\WINDOWS\AGRSMMSG.exe[976] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\WINDOWS\AGRSMMSG.exe[976] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\WINDOWS\AGRSMMSG.exe[976] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\Program Files\ltmoh\Ltmoh.exe[984] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\Program Files\ltmoh\Ltmoh.exe[984] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\Program Files\ltmoh\Ltmoh.exe[984] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\Program Files\ltmoh\Ltmoh.exe[984] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\Program Files\ltmoh\Ltmoh.exe[984] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\Program Files\ltmoh\Ltmoh.exe[984] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\Program Files\ltmoh\Ltmoh.exe[984] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\Program Files\ltmoh\Ltmoh.exe[984] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\Program Files\ltmoh\Ltmoh.exe[984] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\Program Files\ltmoh\Ltmoh.exe[984] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\Program Files\ltmoh\Ltmoh.exe[984] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\Program Files\ltmoh\Ltmoh.exe[984] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\Program Files\ltmoh\Ltmoh.exe[984] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00130608
.text C:\Program Files\ltmoh\Ltmoh.exe[984] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00130720
.text C:\Program Files\ltmoh\Ltmoh.exe[984] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 001307AC
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00070090
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00070694
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 000702C0
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00070234
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0007011C
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00070004
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 000701A8
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 000704F0
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0007057C
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 000703D8
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0007034C
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00070464
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00070608
.text C:\WINDOWS\system32\svchost.exe[996] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00070720
.text C:\WINDOWS\system32\svchost.exe[996] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 000707AC
.text C:\WINDOWS\system32\svchost.exe[996] WS2_32.dll!bind 719FC328 5 Bytes JMP 00070838
.text C:\WINDOWS\system32\svchost.exe[996] WS2_32.dll!connect 719FC3AF 5 Bytes JMP 00070950
.text C:\WINDOWS\system32\svchost.exe[996] WS2_32.dll!socket 719FD159 5 Bytes JMP 000708C4
.text C:\WINDOWS\system32\svchost.exe[1024] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00070090
.text C:\WINDOWS\system32\svchost.exe[1024] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00070694
.text C:\WINDOWS\system32\svchost.exe[1024] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 000702C0
.text C:\WINDOWS\system32\svchost.exe[1024] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00070234
.text C:\WINDOWS\system32\svchost.exe[1024] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0007011C
.text C:\WINDOWS\system32\svchost.exe[1024] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00070004
.text C:\WINDOWS\system32\svchost.exe[1024] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 000701A8
.text C:\WINDOWS\system32\svchost.exe[1024] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 000704F0
.text C:\WINDOWS\system32\svchost.exe[1024] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0007057C
.text C:\WINDOWS\system32\svchost.exe[1024] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 000703D8
.text C:\WINDOWS\system32\svchost.exe[1024] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0007034C
.text C:\WINDOWS\system32\svchost.exe[1024] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00070464
.text C:\WINDOWS\system32\svchost.exe[1024] kernel32.dll!SetThreadContext 77E75B18 5 Bytes JMP 00070608
.text C:\WINDOWS\system32\svchost.exe[1024] USER32.dll!SetWindowsHookExA 77D1F64E 5 Bytes JMP 00070720
.text C:\WINDOWS\system32\svchost.exe[1024] USER32.dll!SetWindowsHookExW 77D1F6B2 5 Bytes JMP 000707AC
.text C:\WINDOWS\system32\svchost.exe[1024] WS2_32.dll!bind 719FC328 5 Bytes JMP 00070838
.text C:\WINDOWS\system32\svchost.exe[1024] WS2_32.dll!connect 719FC3AF 5 Bytes JMP 00070950
.text C:\WINDOWS\system32\svchost.exe[1024] WS2_32.dll!socket 719FD159 5 Bytes JMP 000708C4
.text C:\WINDOWS\system32\svchost.exe[1024] WININET.dll!InternetOpenA 63017790 5 Bytes JMP 00070D24
.text C:\WINDOWS\system32\svchost.exe[1024] WININET.dll!InternetConnectA 63017988 5 Bytes JMP 00070F54
.text C:\WINDOWS\system32\svchost.exe[1024] WININET.dll!InternetOpenUrlA 63017F59 5 Bytes JMP 00070E3C
.text C:\WINDOWS\system32\svchost.exe[1024] WININET.dll!InternetOpenW 6301A0E4 5 Bytes JMP 00070DB0
.text C:\WINDOWS\system32\svchost.exe[1024] WININET.dll!InternetConnectW 6301A261 5 Bytes JMP 00070FE0
.text C:\WINDOWS\system32\svchost.exe[1024] WININET.dll!InternetOpenUrlW 6301A3FB 5 Bytes JMP 00070EC8
.text C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe[1120] kernel32.dll!VirtualProtect 77E416A2 5 Bytes JMP 00130090
.text C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe[1120] kernel32.dll!WriteProcessMemory 77E41A98 5 Bytes JMP 00130694
.text C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe[1120] kernel32.dll!CreateProcessW 77E41B92 5 Bytes JMP 001302C0
.text C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe[1120] kernel32.dll!CreateProcessA 77E41BC0 5 Bytes JMP 00130234
.text C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe[1120] kernel32.dll!VirtualAllocEx 77E48EAC 5 Bytes JMP 0013011C
.text C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe[1120] kernel32.dll!VirtualAlloc 77E48F04 5 Bytes JMP 00130004
.text C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe[1120] kernel32.dll!VirtualProtectEx 77E4D399 5 Bytes JMP 001301A8
.text C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe[1120] kernel32.dll!CreateRemoteThread 77E4FE82 5 Bytes JMP 001304F0
.text C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe[1120] kernel32.dll!CreateThread 77E50049 5 Bytes JMP 0013057C
.text C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe[1120] kernel32.dll!CreateProcessInternalW 77E53CCA 5 Bytes JMP 001303D8
.text C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe[1120] kernel32.dll!CreateProcessInternalA 77E628E0 5 Bytes JMP 0013034C
.text C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe[1120] kernel32.dll!WinExec 77E62CF5 5 Bytes JMP 00130464
.text C:\Program Files\ZTE

Réponse 11 / 29

philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
24 janv. 2007 à 14:06

Bonjour,

Maintenant :

Utilisation ----- option 2 -Nettoyage :

* Redémarre l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage ou http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924

* Double clique sur smitfraudfix.cmd

* Sélectionne 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté.

A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

* Redémarre en mode normal et poste le rapport ici

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
Attention que l'option 2 de l'outil supprime le fond d'écran !

puis

lance HijackThis, et coche puis fixe :

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O4 - HKLM\..\Run: [AutoSys] C:\WINDOWS\System32\autosys.exe

puis

relance HijackThis > "Open the misc tool section" > "Delete a file on reboot"
-> dans la fenêtre qui s'ouvre, colle ce chemin :
C:\WINDOWS\system32\autosys.exe
puis clique sur "Ouvrir"
Valide le message, mais ne redémarre pas maintenant, recommence avec ce chemin :

c:\secure32.html

ensuite, valide et l'ordinateur va redémarrer (sinon fais-le toi-même)

reviens avec le rapport de l'option 2 de smitfraud et un nouveau rapport hijackthis

arthuro3775 Messages postés 23 Date d'inscription lundi 22 janvier 2007 Statut Membre Dernière intervention 10 janvier 2014
24 janv. 2007 à 22:14

Salut Philae,

J'ai toujours des infections qui se manifestent...

SmitFraudFix v2.133

Rapport fait à 21:50:36,37, 24/01/2007
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\secure32.html supprimé
C:\WINDOWS\system32\autosys.exe supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Et le log Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 22:06:24, on 24/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\Program Files\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\WANADOO\TaskBarIcon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\wpablan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\ctpmon.exe
C:\WINDOWS\System32\ctpmon.exe
C:\WINDOWS\System32\autosys.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Elisabeth Debray\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Install5G] E:\Install.exe /SI=30
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\GestMaj.exe EspaceWanadoo.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Install Driver Manager (Install Driver Table Manager) - Unknown owner - C:\WINDOWS\wpablan.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

Réponse 12 / 29

philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
24 janv. 2007 à 22:30

re

Telecharge: Pocket Killbox
http://www.downloads.subratam.org/killBox.exe

puis

lance hijackthis et coche puis fixe :

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll

puis

1- Double-clic sur KillBox.exe
2- Selectionne "Delete on Reboot"
3 - Dans "Full Path of File to Delete"
copie et colle:

C:\WINDOWS\System32\rpcc.dll

5- clic sur le rond rouge
6- une fenetre va apparaitre pour confirmation clic sur OUI
7- une seconde fenetre te demande si tu veux redemarrer clic sur OUI

reposte un nouveau rapport hijackthis

arthuro3775 Messages postés 23 Date d'inscription lundi 22 janvier 2007 Statut Membre Dernière intervention 10 janvier 2014
26 janv. 2007 à 10:02

Bonjour Philae

J'ai donc suivi ta dernière manip avec Killbox et le dernier rapport Hijackthis donne ça :

Logfile of HijackThis v1.99.1
Scan saved at 08:45:03, on 26/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\Program Files\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\WANADOO\TaskBarIcon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\yciwlb.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\Elisabeth Debray\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe
C:\WINDOWS\System32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Install5G] E:\Install.exe /SI=30
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [lmjvservc] advchjuu.exe
O4 - HKLM\..\Run: [Win32] yciwlb.exe
O4 - HKLM\..\RunServices: [Win32] yciwlb.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [lvcdmsys] C:\WINDOWS\System32\dbbsrcc.exe
O4 - HKCU\..\Run: [llsymvb] C:\WINDOWS\System32\fldmelds.exe
O4 - HKCU\..\Run: [Win32] yciwlb.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Install Driver Manager (Install Driver Table Manager) - Unknown owner - C:\WINDOWS\wpablan.exe (file missing)
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

Qu'en penses-tu ? J'espère vivement que tout va bientôt rentrer dans l'ordre !!

A+

Arthuro3775

Réponse 13 / 29

philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
26 janv. 2007 à 21:38

Bonsoir,

j'en pense que ce n'est pas clean du tout.

* Télécharge SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

* Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

* Redémarre ton ordinateur en mode sans échec

* Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.

* Appuie sur Y pour commencer le processus de nettoyage.

Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

* Appuie sur une touche pour redémarrer le PC.

Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum,

avec un nouveau log Hijackthis

Réponse 14 / 29

arthuro3775 Messages postés 23 Date d'inscription lundi 22 janvier 2007 Statut Membre Dernière intervention 10 janvier 2014
26 janv. 2007 à 23:48

Bonsoir Philae

Ci-joint rapport SDFix

SDFix: Version 1.62

26/01/2007 - 23:38:26,83

Microsoft Windows XP [version 5.1.2600]

Running From: C:\Documents and Settings\Elisabeth Debray\Bureau\SDFix

Safe Mode:
Checking Services:

Name:
Install Driver Table Manager

Path:
"C:\WINDOWS\wpablan.exe"

Install Driver Table Manager Deleted

Restoring Windows Registry Entries
Restoring Default Hosts File

Rebooting...

Normal Mode:
Checking Files:

Files will be copied to Backups folder and removed:

C:\WINDOWS\system32\autosys.exe - Deleted
C:\WINDOWS\system32\i - Deleted
C:\WINDOWS\system32\setup_77887.exe - Deleted
C:\WINDOWS\system32\setup_54084.exe - Deleted

Alternate Streams Check:

C:\WINDOWS\system32
No streams found.

Final Check:

Remaining Services:
------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

Remaining Files:
---------------

Backups Folder: - C:\DOCUME~1\ELISAB~1\Bureau\SDFix\backups\backups.zip

Checking For Files with Hidden Attributes :

C:\NTDETECT.COM
C:\WINDOWS\system32\NTICDMK32.dll
C:\WINDOWS\wpablan.exe~
C:\WINDOWS\system32\sscmsslv.exe
C:\WINDOWS\system32\mgcplwin.exe
C:\WINDOWS\system32\yciwlb.exe
C:\WINDOWS\system32\cdplayer.exe.manifest
C:\WINDOWS\system32\logonui.exe.manifest
C:\WINDOWS\system32\advchjuu.exe~
C:\WINDOWS\system32\fldmelds.exe~
C:\WINDOWS\system32\dbbsrcc.exe~
C:\hiberfil.sys
C:\MSDOS.SYS
C:\IO.SYS
C:\pagefile.sys

Finished

et un nouveau rapport Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 23:46:10, on 26/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\Program Files\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\WANADOO\TaskBarIcon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Elisabeth Debray\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Install5G] E:\Install.exe /SI=30
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [lmjvservc] advchjuu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [lvcdmsys] C:\WINDOWS\System32\dbbsrcc.exe
O4 - HKCU\..\Run: [llsymvb] C:\WINDOWS\System32\fldmelds.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: xdcxnse - C:\WINDOWS\SYSTEM32\xdcxnse.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

Apparemment, j'ai déjà une amélioration visible au niveau de la connexion Internet.

Je reste donc à ton écoute.

Salutations

Arthuro3775

Réponse 15 / 29

philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
26 janv. 2007 à 23:56

toujours pas ok

supprime soit avast, soit norton, tu as un antivirus en trop.

puis

relance smitfraud option 1 poste le rapport

arthuro3775 Messages postés 23 Date d'inscription lundi 22 janvier 2007 Statut Membre Dernière intervention 10 janvier 2014
27 janv. 2007 à 00:05

J'ai essayé de supprimer Norton (que je pensais avoir désinstallé il y a quelques temps), mais il y a toujours un dossier dans C/Program files que je n'arrive pas à supprimer à cause d'un fichier NAVSHEXT.dll...

Je t'envoie le rapport smitfraud.

Arthuro 3775

arthuro3775 Messages postés 23 Date d'inscription lundi 22 janvier 2007 Statut Membre Dernière intervention 10 janvier 2014
27 janv. 2007 à 00:07

Et voila le rapport SmitFraud

SmitFraudFix v2.133

Rapport fait à 0:06:13,16, 27/01/2007
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\secure32.html PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Elisabeth Debray

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Elisabeth Debray\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ELISAB~1\FAVORIS

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Arthuro 3775

Réponse 16 / 29

philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
27 janv. 2007 à 00:08

pour supprimer norton
c'est ici
https://www.pcastuces.com/newsletter/adj/1630.htm
http://speedweb1.free.fr/frames2.php?page=divers3

Réponse 17 / 29

philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
27 janv. 2007 à 00:15

Maintenant :

Utilisation ----- option 2 -Nettoyage :

* Redémarre l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage ou http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924

* Double clique sur smitfraudfix.cmd

* Sélectionne 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté.

A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

* Redémarre en mode normal et poste le rapport ici

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
Attention que l'option 2 de l'outil supprime le fond d'écran !

et

Télécharge Clean.zip (de Malekal),
http://www.malekal.com/download/clean.zip

Décompresse-le sur ton bureau (Clique-Droit/Extraire tout), tu dois obtenir un dossier Clean.
Ouvre le dossier clean, double-clique sur clean.cmd.
Choisis l'option 1 puis patiente. Poste ensuite le contenu du rapport.

arthuro3775 Messages postés 23 Date d'inscription lundi 22 janvier 2007 Statut Membre Dernière intervention 10 janvier 2014
27 janv. 2007 à 00:44

SmitFraudFix v2.133

Rapport fait à 0:21:59,53, 27/01/2007
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\secure32.html supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Réponse 18 / 29

arthuro3775 Messages postés 23 Date d'inscription lundi 22 janvier 2007 Statut Membre Dernière intervention 10 janvier 2014
27 janv. 2007 à 00:44

Rapport clean par Malekal_morte - http://www.malekal.com
Option 1, executee le 27/01/2007 a 0:30:43,05

*** Recherche de fichiers sur C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Fin du rapport !

A+

Réponse 19 / 29

philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
27 janv. 2007 à 00:50

ok merci,

reposte un rapport hijackthis stp

arthuro3775 Messages postés 23 Date d'inscription lundi 22 janvier 2007 Statut Membre Dernière intervention 10 janvier 2014
27 janv. 2007 à 01:04

Logfile of HijackThis v1.99.1
Scan saved at 00:59:02, on 27/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\Program Files\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\WANADOO\TaskBarIcon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\msiexec.exe
C:\Documents and Settings\Elisabeth Debray\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [Install5G] E:\Install.exe /SI=30
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [lmjvservc] advchjuu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [lvcdmsys] C:\WINDOWS\System32\dbbsrcc.exe
O4 - HKCU\..\Run: [llsymvb] C:\WINDOWS\System32\fldmelds.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

Réponse 20 / 29

philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
27 janv. 2007 à 01:12

re

Télécharge KillBox d'Option^Explicit.
https://www.bleepingcomputer.com/download/linux/

Dézippe le dans un dossier ou sur ton bureau (Clique droit puis Extraire Tout).

Selectionne le texte en gras ci dessous :

c:\windows\system32\advchjuu.exe
C:\WINDOWS\System32\dbbsrcc.exe
C:\WINDOWS\System32\fldmelds.exe

* Clique Droit puis Copier.

-- Ouvre Killbox.exe
-- Choisis "Delete on reboot"
-- Clique sur :
- " File " -> " Paste from Clipboard "
- " All Files "

Pour terminer clique sur la croix blanche sur fond rouge
a la question posée :
" File will be Removed on Reboot, Do you want to reboot now ? "
Répond OUI, un compte à rebours s'enclenche, ton PC va redémarrer.
NOTE: Si tu reçois le message "PendingFileRenameOperations Registry Data has been removed by external process!"
Redémarre ton PC manuellement.

aide pour killbox de Jesses
http://perso.orange.fr/jesses/Docs/Logiciels/KillBox.htm

arthuro3775 Messages postés 23 Date d'inscription lundi 22 janvier 2007 Statut Membre Dernière intervention 10 janvier 2014
27 janv. 2007 à 10:40

Bonjour

Je n'ai pas réussi à virer les 3 fichiers .exe d'un coup, donc je les ai enlevés un par un.

Voici le dernier rapport hijackthis que j'ai édité.

Logfile of HijackThis v1.99.1
Scan saved at 10:37:06, on 27/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\Program Files\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\PROGRA~1\WANADOO\TaskBarIcon.exe
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Elisabeth Debray\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [Install5G] E:\Install.exe /SI=30
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [lmjvservc] advchjuu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [lvcdmsys] C:\WINDOWS\System32\dbbsrcc.exe
O4 - HKCU\..\Run: [llsymvb] C:\WINDOWS\System32\fldmelds.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: xdcxnse - C:\WINDOWS\SYSTEM32\xdcxnse.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

Arthuro3775

Discussions similaires

Est ce que le site tlauncher est dangereux ?

Detection PUA: win32 Installcore

Virus détecté

infecté par HackTool:Win32/AutoKMS

Problème avec "PUADIManager:Win32/OfferCore

Discussions similaires

Newsletters