[Virus]BraveSentry et prob. Confidentialité
DeathBreeze
Messages postés
25
Date d'inscription
Statut
Membre
Dernière intervention
-
DeathBreeze -
DeathBreeze -
Salut,
J'espère que je suis au bon endroit. Alors voilà mon problème présentement...
Après avoir attrapée BraveSentry, j'ai du telecharger Spybot et SmitfraudFix pour règler mon premier probleme. J'ai cru que tout s'était rétabli, mais non...
Des fenêtres internets continues d'ouvrir sans raisons pour des site qui font des analyses de virus, mes paramètres dans l'Option internet (Confidentialité) retombe toujours a "Accepter tous les Cookies" quand j'ouvre une page, et mon pc a perdu de la vitesse aussi. Et bon, les pages internets gèlent souvent, ce qu'il ne faisait pas avant.
Pour résumé ma démarche, j'ai fait un scan de SmitfraudFix, de Spybot et de Avast. J'ai beau tout enlever, mes problemes persistent...J'ai aussi supprimer les Cookies et les fichiers temporaire et j'ai défragmenter mon pc aussi... question de vitesse.
Je ne sais plus quoi faire et ca commence sérieusement a m'inquiètée. Merci d'avance!
-xxx-
J'espère que je suis au bon endroit. Alors voilà mon problème présentement...
Après avoir attrapée BraveSentry, j'ai du telecharger Spybot et SmitfraudFix pour règler mon premier probleme. J'ai cru que tout s'était rétabli, mais non...
Des fenêtres internets continues d'ouvrir sans raisons pour des site qui font des analyses de virus, mes paramètres dans l'Option internet (Confidentialité) retombe toujours a "Accepter tous les Cookies" quand j'ouvre une page, et mon pc a perdu de la vitesse aussi. Et bon, les pages internets gèlent souvent, ce qu'il ne faisait pas avant.
Pour résumé ma démarche, j'ai fait un scan de SmitfraudFix, de Spybot et de Avast. J'ai beau tout enlever, mes problemes persistent...J'ai aussi supprimer les Cookies et les fichiers temporaire et j'ai défragmenter mon pc aussi... question de vitesse.
Je ne sais plus quoi faire et ca commence sérieusement a m'inquiètée. Merci d'avance!
-xxx-
A voir également:
- [Virus]BraveSentry et prob. Confidentialité
- Virus mcafee - Accueil - Piratage
- Paramètres de confidentialité - Guide
- Confidentialité whatsapp - Guide
- Liste d'amis facebook confidentialité - Guide
- Virus facebook demande d'amis - Accueil - Facebook
16 réponses
Bienvenue sur le forum d’entraide de CommentCaMarche.net
Nous connaissons votre situation et nous vous conseillons de ne surtout pas vous inquiéter.
De plus, au vu du nombre croissant de désinfections effectuées sur le forum, nous vous demandons un peu de patience et surtout de ne pas créer plusieurs postes pour le même problème.
Merci de votre compréhension.
Prends connaissance du contenu le lien suivant:
http://www.f-secure.com/products/license-terms/eult_fra.pdf
Tu as donc pris connaissance et accepté les conditions d'utilisations du programme blacklight qui est inclus dans le dossier compressé navilog1.zip que tu vas télécharger.
Maintenant fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clique sur navilog1.bat
Laisses-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2 sans notre avis/accord)
Patientes jusqu'au message :
*** Analyse Termine le ..... ***
Appuies sur une touche comme demandé, le blocnote va s'ouvrir.
Copies-colles l'intégralité dans une réponse. Refermes le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
A+
Nous connaissons votre situation et nous vous conseillons de ne surtout pas vous inquiéter.
De plus, au vu du nombre croissant de désinfections effectuées sur le forum, nous vous demandons un peu de patience et surtout de ne pas créer plusieurs postes pour le même problème.
Merci de votre compréhension.
Prends connaissance du contenu le lien suivant:
http://www.f-secure.com/products/license-terms/eult_fra.pdf
Tu as donc pris connaissance et accepté les conditions d'utilisations du programme blacklight qui est inclus dans le dossier compressé navilog1.zip que tu vas télécharger.
Maintenant fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clique sur navilog1.bat
Laisses-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2 sans notre avis/accord)
Patientes jusqu'au message :
*** Analyse Termine le ..... ***
Appuies sur une touche comme demandé, le blocnote va s'ouvrir.
Copies-colles l'intégralité dans une réponse. Refermes le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
A+
Search Navipromo version 1.1.5 commencé le 2007-04-20 à 7:52:46,47
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!
Fix lancé depuis C:\Documents and Settings\miron.FILO\Bureau\navilog1
Mise a jour le 13.04.2007 a 20h00 by IL-MAFIOSO
Executé en mode normal
*** Recherche Programmes installes ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\Documents and Settings\All Users.WINDOWS\Application Data ***
*** Recherche dossiers dans C:\Documents and Settings\miron.FILO\Application Data ***
*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en
F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================
Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.
[+] Started on 04/20/07 at 07:52:47.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items .............................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 04/20/07 at 07:55:29 (return code = 0).
*** Recherche fichiers ***
*** Recherche cles registre ***
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
Recherche Clé Magic Control
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
C:\WINDOWS\system32\xadgh.bak1 trouvé ! infection Vundo possible non traité par cet outil !
2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********
*** Analyse Terminé le 2007-04-20 à 7:56:17,31 ***
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!
Fix lancé depuis C:\Documents and Settings\miron.FILO\Bureau\navilog1
Mise a jour le 13.04.2007 a 20h00 by IL-MAFIOSO
Executé en mode normal
*** Recherche Programmes installes ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\Documents and Settings\All Users.WINDOWS\Application Data ***
*** Recherche dossiers dans C:\Documents and Settings\miron.FILO\Application Data ***
*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en
F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================
Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.
[+] Started on 04/20/07 at 07:52:47.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items .............................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 04/20/07 at 07:55:29 (return code = 0).
*** Recherche fichiers ***
*** Recherche cles registre ***
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
Recherche Clé Magic Control
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
C:\WINDOWS\system32\xadgh.bak1 trouvé ! infection Vundo possible non traité par cet outil !
2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********
*** Analyse Terminé le 2007-04-20 à 7:56:17,31 ***
Re,
Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
Double-clique VundoFix.exe afin de le lancer.
Coche Run VundoFix as a task.
Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok
Clique sur le bouton Scan for Vundo.
Lorsque le scan est complété, clique sur le bouton Remove Vundo.
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
Démarre ton PC à nouveau.
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
Double-clique VundoFix.exe afin de le lancer.
Coche Run VundoFix as a task.
Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok
Clique sur le bouton Scan for Vundo.
Lorsque le scan est complété, clique sur le bouton Remove Vundo.
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
Démarre ton PC à nouveau.
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
Et voila, je crois les deux logs que tu as demandé.
VundoFix V6.3.19
Checking Java version...
Java version is 1.5.0.10
Scan started at 10:19:44 2007-04-20
Listing files found while scanning....
C:\WINDOWS\System32\hgdax.dll
C:\WINDOWS\system32\wjxwbaoi.dll
C:\WINDOWS\System32\xadgh.bak1
C:\WINDOWS\System32\xadgh.ini
Beginning removal...
Attempting to delete C:\WINDOWS\System32\hgdax.dll
C:\WINDOWS\System32\hgdax.dll Has been deleted!
Attempting to delete C:\WINDOWS\system32\wjxwbaoi.dll
C:\WINDOWS\system32\wjxwbaoi.dll Has been deleted!
Attempting to delete C:\WINDOWS\System32\xadgh.bak1
C:\WINDOWS\System32\xadgh.bak1 Has been deleted!
Attempting to delete C:\WINDOWS\System32\xadgh.ini
C:\WINDOWS\System32\xadgh.ini Has been deleted!
Performing Repairs to the registry.
Done!
----------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10:33:36, on 2007-04-20
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\atievxx.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\System32\clcl4.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RAMASST.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\System32\gqncxijw.dll
O2 - BHO: (no name) - {20A5D697-AA86-4794-801C-E1048107FA12} - C:\WINDOWS\System32\hgdax.dll (file missing)
O2 - BHO: (no name) - {26FAFD75-1005-41F6-978D-178C00165C0B} - C:\WINDOWS\System32\opnollj.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [RunOnce1Upd] "C:\Documents and Settings\miron.FILO\ie_updater.exe"
O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\System32\rpcc.exe
O4 - HKLM\..\Run: [clcl4] C:\WINDOWS\System32\clcl4.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\miron.FILO\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: opnollj - C:\WINDOWS\SYSTEM32\opnollj.dll
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users.WINDOWS\Documents\Settings\partnership.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
--
VundoFix V6.3.19
Checking Java version...
Java version is 1.5.0.10
Scan started at 10:19:44 2007-04-20
Listing files found while scanning....
C:\WINDOWS\System32\hgdax.dll
C:\WINDOWS\system32\wjxwbaoi.dll
C:\WINDOWS\System32\xadgh.bak1
C:\WINDOWS\System32\xadgh.ini
Beginning removal...
Attempting to delete C:\WINDOWS\System32\hgdax.dll
C:\WINDOWS\System32\hgdax.dll Has been deleted!
Attempting to delete C:\WINDOWS\system32\wjxwbaoi.dll
C:\WINDOWS\system32\wjxwbaoi.dll Has been deleted!
Attempting to delete C:\WINDOWS\System32\xadgh.bak1
C:\WINDOWS\System32\xadgh.bak1 Has been deleted!
Attempting to delete C:\WINDOWS\System32\xadgh.ini
C:\WINDOWS\System32\xadgh.ini Has been deleted!
Performing Repairs to the registry.
Done!
----------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10:33:36, on 2007-04-20
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\atievxx.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\System32\clcl4.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RAMASST.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\System32\gqncxijw.dll
O2 - BHO: (no name) - {20A5D697-AA86-4794-801C-E1048107FA12} - C:\WINDOWS\System32\hgdax.dll (file missing)
O2 - BHO: (no name) - {26FAFD75-1005-41F6-978D-178C00165C0B} - C:\WINDOWS\System32\opnollj.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [RunOnce1Upd] "C:\Documents and Settings\miron.FILO\ie_updater.exe"
O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\System32\rpcc.exe
O4 - HKLM\..\Run: [clcl4] C:\WINDOWS\System32\clcl4.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\miron.FILO\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: opnollj - C:\WINDOWS\SYSTEM32\opnollj.dll
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users.WINDOWS\Documents\Settings\partnership.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
--
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Hello,
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
Et bien, après avoir fait son travail en mode sans echec, SDFix n'a jamais redémarrer, mais plutôt fais planter mon pc. Quand j'ai réouvert mon pc, Avast semblais prendre un fichier de SDFix comme virus... ce peut-il que les deux programmes se sont entrechoqué par que SDFix ne semble pas avoir continuer sa démarche après le rebootage...
SDFIX Réussi :
SDFix: Version 1.79
Run by miron - 2007-04-20 - 17:53:39,18
Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\MIRON~1.FIL\Bureau\SDFix
Safe Mode:
Checking Services:
Killing PID 160 'smss.exe'
Killing PID 236 'winlogon.exe'
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting...
Normal Mode:
Checking Files:
Below files will be copied to Backups folder then removed:
C:\Documents and Settings\All Users.WINDOWS\Documents\Settings\partnership.dll - Deleted
C:\DOCUME~1\MIRON~1.FIL\LOCALS~1\Temp\ICD1.tmp\jinstall-1_5_0_10.inf - Deleted
C:\DOCUME~1\MIRON~1.FIL\LOCALS~1\Temp\ICD1.tmp\jinstall.exe - Deleted
C:\Documents and Settings\miron.FILO\ie_updater.exe - Deleted
C:\WINDOWS\system32\rpcc.exe - Deleted
C:\WINDOWS\system32\RunOnce.t__ - Deleted
C:\WINDOWS\system32\RunOnce.tm_ - Deleted
C:\WINDOWS\system32\svehost.exe - Deleted
Folder C:\DOCUME~1\MIRON~1.FIL\LOCALS~1\Temp\ICD1.tmp - Removed
Removing Temp Files
ADS Check:
Checking if ADS is attached to system32 Folder
C:\WINDOWS\system32
No streams found.
Checking if ADS is attached to svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.
Final Check:
Remaining Services:
------------------
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
Remaining Files:
---------------
Checking For Files with Hidden Attributes:
C:\Documents and Settings\miron.FILO\Local Settings\Application Data\Microsoft\Messenger\death_breeze@hotmail.com\Sharing Folders\doudly9@hotmail.com\Thumbs.db
C:\WINDOWS\system32\awvut.dll
C:\WINDOWS\system32\ljjkj.dll
C:\WINDOWS\system32\qomli.dll
C:\Documents and Settings\miron.FILO\Mes documents\Sc‚nario de film\~WRL0003.tmp
Finished
----------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18:09:10, on 2007-04-20
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\atievxx.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\System32\clcl4.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Java\jre1.5.0_10\bin\jucheck.exe
C:\Program Files\HiJackThis_v2\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\System32\gqncxijw.dll
O2 - BHO: (no name) - {20A5D697-AA86-4794-801C-E1048107FA12} - C:\WINDOWS\System32\hgdax.dll (file missing)
O2 - BHO: (no name) - {26FAFD75-1005-41F6-978D-178C00165C0B} - C:\WINDOWS\System32\opnollj.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {E570985D-97D0-4775-9755-260CAE692D93} - C:\WINDOWS\System32\awvut.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [RunOnce1Upd] "C:\Documents and Settings\miron.FILO\ie_updater.exe"
O4 - HKLM\..\Run: [clcl4] C:\WINDOWS\System32\clcl4.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\miron.FILO\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: awvut - C:\WINDOWS\System32\awvut.dll
O20 - Winlogon Notify: opnollj - C:\WINDOWS\SYSTEM32\opnollj.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
SDFix: Version 1.79
Run by miron - 2007-04-20 - 17:53:39,18
Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\MIRON~1.FIL\Bureau\SDFix
Safe Mode:
Checking Services:
Killing PID 160 'smss.exe'
Killing PID 236 'winlogon.exe'
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting...
Normal Mode:
Checking Files:
Below files will be copied to Backups folder then removed:
C:\Documents and Settings\All Users.WINDOWS\Documents\Settings\partnership.dll - Deleted
C:\DOCUME~1\MIRON~1.FIL\LOCALS~1\Temp\ICD1.tmp\jinstall-1_5_0_10.inf - Deleted
C:\DOCUME~1\MIRON~1.FIL\LOCALS~1\Temp\ICD1.tmp\jinstall.exe - Deleted
C:\Documents and Settings\miron.FILO\ie_updater.exe - Deleted
C:\WINDOWS\system32\rpcc.exe - Deleted
C:\WINDOWS\system32\RunOnce.t__ - Deleted
C:\WINDOWS\system32\RunOnce.tm_ - Deleted
C:\WINDOWS\system32\svehost.exe - Deleted
Folder C:\DOCUME~1\MIRON~1.FIL\LOCALS~1\Temp\ICD1.tmp - Removed
Removing Temp Files
ADS Check:
Checking if ADS is attached to system32 Folder
C:\WINDOWS\system32
No streams found.
Checking if ADS is attached to svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.
Final Check:
Remaining Services:
------------------
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
Remaining Files:
---------------
Checking For Files with Hidden Attributes:
C:\Documents and Settings\miron.FILO\Local Settings\Application Data\Microsoft\Messenger\death_breeze@hotmail.com\Sharing Folders\doudly9@hotmail.com\Thumbs.db
C:\WINDOWS\system32\awvut.dll
C:\WINDOWS\system32\ljjkj.dll
C:\WINDOWS\system32\qomli.dll
C:\Documents and Settings\miron.FILO\Mes documents\Sc‚nario de film\~WRL0003.tmp
Finished
----------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18:09:10, on 2007-04-20
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\atievxx.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\System32\clcl4.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Java\jre1.5.0_10\bin\jucheck.exe
C:\Program Files\HiJackThis_v2\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\System32\gqncxijw.dll
O2 - BHO: (no name) - {20A5D697-AA86-4794-801C-E1048107FA12} - C:\WINDOWS\System32\hgdax.dll (file missing)
O2 - BHO: (no name) - {26FAFD75-1005-41F6-978D-178C00165C0B} - C:\WINDOWS\System32\opnollj.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {E570985D-97D0-4775-9755-260CAE692D93} - C:\WINDOWS\System32\awvut.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [RunOnce1Upd] "C:\Documents and Settings\miron.FILO\ie_updater.exe"
O4 - HKLM\..\Run: [clcl4] C:\WINDOWS\System32\clcl4.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\miron.FILO\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: awvut - C:\WINDOWS\System32\awvut.dll
O20 - Winlogon Notify: opnollj - C:\WINDOWS\SYSTEM32\opnollj.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
OK
Installe AVG Anti-Spyware :
https://www.malekal.com/avg-antivirus-free-antivirus-gratuit-pour-proteger-son-pc-des-virus/
¤ Lance AVG Anti-Spyware
Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option 3
"Appliquer toutes les actions " en bas.
Clique sur "Enregistrer le rapport".
Copie/colle le rapport sur le forum.
Installe AVG Anti-Spyware :
https://www.malekal.com/avg-antivirus-free-antivirus-gratuit-pour-proteger-son-pc-des-virus/
¤ Lance AVG Anti-Spyware
Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option 3
"Appliquer toutes les actions " en bas.
Clique sur "Enregistrer le rapport".
Copie/colle le rapport sur le forum.
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------
+ Créé à: 21:45:11 2007-04-21
+ Résultat de l'analyse:
C:\WINDOWS\system32\update38810001.exe -> Adware.BHO : Nettoyé et sauvegardé (mise en quarantaine).
C:\wmplayer.dll -> Adware.BHO : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{DBFB0CD1-F5DE-4725-BAE3-46E80925D04F}\RP180\A0043555.dll -> Adware.BraveSentry : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{DBFB0CD1-F5DE-4725-BAE3-46E80925D04F}\RP180\A0043556.dll -> Adware.BraveSentry : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{DBFB0CD1-F5DE-4725-BAE3-46E80925D04F}\RP180\A0043557.dll -> Adware.BraveSentry : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{DBFB0CD1-F5DE-4725-BAE3-46E80925D04F}\RP180\A0043558.dll -> Adware.BraveSentry : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{DBFB0CD1-F5DE-4725-BAE3-46E80925D04F}\RP180\A0043553.exe -> Adware.SpySheriff : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\opnollj.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\drivers\ip6fw.sys -> Backdoor.Bulknet : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\update74910103.exe -> Dropper.Small.avu : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{DBFB0CD1-F5DE-4725-BAE3-46E80925D04F}\RP180\A0043551.exe -> Hijacker.Agent.is : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\update56160395.exe -> Hijacker.Agent.is : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{DBFB0CD1-F5DE-4725-BAE3-46E80925D04F}\RP180\A0043550.exe -> Not-A-Virus.Hoax.Win32.Renos.hm : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\update58620628.exe -> Not-A-Virus.Hoax.Win32.Renos.hm : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{DBFB0CD1-F5DE-4725-BAE3-46E80925D04F}\RP181\A0043720.exe -> Proxy.Dlena.ad : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\update59112154.exe -> Proxy.Xorpix.ar : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{DBFB0CD1-F5DE-4725-BAE3-46E80925D04F}\RP181\A0043718.dll -> Proxy.Xorpix.aw : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{DBFB0CD1-F5DE-4725-BAE3-46E80925D04F}\RP180\A0043386.exe -> Trojan.Crypt.g : Nettoyé et sauvegardé (mise en quarantaine).
Fin du rapport
---------------------------------------------------------
+ Créé à: 21:45:11 2007-04-21
+ Résultat de l'analyse:
C:\WINDOWS\system32\update38810001.exe -> Adware.BHO : Nettoyé et sauvegardé (mise en quarantaine).
C:\wmplayer.dll -> Adware.BHO : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{DBFB0CD1-F5DE-4725-BAE3-46E80925D04F}\RP180\A0043555.dll -> Adware.BraveSentry : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{DBFB0CD1-F5DE-4725-BAE3-46E80925D04F}\RP180\A0043556.dll -> Adware.BraveSentry : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{DBFB0CD1-F5DE-4725-BAE3-46E80925D04F}\RP180\A0043557.dll -> Adware.BraveSentry : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{DBFB0CD1-F5DE-4725-BAE3-46E80925D04F}\RP180\A0043558.dll -> Adware.BraveSentry : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{DBFB0CD1-F5DE-4725-BAE3-46E80925D04F}\RP180\A0043553.exe -> Adware.SpySheriff : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\opnollj.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\drivers\ip6fw.sys -> Backdoor.Bulknet : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\update74910103.exe -> Dropper.Small.avu : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{DBFB0CD1-F5DE-4725-BAE3-46E80925D04F}\RP180\A0043551.exe -> Hijacker.Agent.is : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\update56160395.exe -> Hijacker.Agent.is : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{DBFB0CD1-F5DE-4725-BAE3-46E80925D04F}\RP180\A0043550.exe -> Not-A-Virus.Hoax.Win32.Renos.hm : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\update58620628.exe -> Not-A-Virus.Hoax.Win32.Renos.hm : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{DBFB0CD1-F5DE-4725-BAE3-46E80925D04F}\RP181\A0043720.exe -> Proxy.Dlena.ad : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\update59112154.exe -> Proxy.Xorpix.ar : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{DBFB0CD1-F5DE-4725-BAE3-46E80925D04F}\RP181\A0043718.dll -> Proxy.Xorpix.aw : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{DBFB0CD1-F5DE-4725-BAE3-46E80925D04F}\RP180\A0043386.exe -> Trojan.Crypt.g : Nettoyé et sauvegardé (mise en quarantaine).
Fin du rapport
Bonjour,
Télécharge ceci: (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Exécute le Smitfraudfix.exe et choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
A+
Télécharge ceci: (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Exécute le Smitfraudfix.exe et choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
A+
SmitFraudFix v2.171
Rapport fait à 11:20:00,51, 2007-04-22
Executé à partir de C:\Documents and Settings\miron.FILO\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\atievxx.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Program Files\Java\jre1.5.0_10\bin\jucheck.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\clcl4.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\miron.FILO
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\miron.FILO\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MIRON~1.FIL\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Intel(R) PRO/100+ MiniPCI - Miniport d'ordonnancement de paquets
DNS Server Search Order: 24.200.241.37
DNS Server Search Order: 24.201.245.77
DNS Server Search Order: 24.200.243.189
HKLM\SYSTEM\CCS\Services\Tcpip\..\{ADBF7DA8-AAD9-4D61-BDAB-0302926168A1}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS1\Services\Tcpip\..\{ADBF7DA8-AAD9-4D61-BDAB-0302926168A1}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS3\Services\Tcpip\..\{ADBF7DA8-AAD9-4D61-BDAB-0302926168A1}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Rapport fait à 11:20:00,51, 2007-04-22
Executé à partir de C:\Documents and Settings\miron.FILO\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\atievxx.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Program Files\Java\jre1.5.0_10\bin\jucheck.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\clcl4.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\miron.FILO
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\miron.FILO\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MIRON~1.FIL\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Intel(R) PRO/100+ MiniPCI - Miniport d'ordonnancement de paquets
DNS Server Search Order: 24.200.241.37
DNS Server Search Order: 24.201.245.77
DNS Server Search Order: 24.200.243.189
HKLM\SYSTEM\CCS\Services\Tcpip\..\{ADBF7DA8-AAD9-4D61-BDAB-0302926168A1}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS1\Services\Tcpip\..\{ADBF7DA8-AAD9-4D61-BDAB-0302926168A1}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS3\Services\Tcpip\..\{ADBF7DA8-AAD9-4D61-BDAB-0302926168A1}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12:55:13, on 2007-04-23
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\atievxx.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Program Files\Java\jre1.5.0_10\bin\jucheck.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\clcl4.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HiJackThis_v2\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {03BE1327-07D5-4C3F-9277-6B11B4643392} - C:\WINDOWS\System32\awvut.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\System32\gqncxijw.dll
O2 - BHO: (no name) - {20A5D697-AA86-4794-801C-E1048107FA12} - C:\WINDOWS\System32\hgdax.dll (file missing)
O2 - BHO: (no name) - {26FAFD75-1005-41F6-978D-178C00165C0B} - C:\WINDOWS\System32\opnollj.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [RunOnce1Upd] "C:\Documents and Settings\miron.FILO\ie_updater.exe"
O4 - HKLM\..\Run: [clcl4] C:\WINDOWS\System32\clcl4.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\miron.FILO\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: awvut - C:\WINDOWS\System32\awvut.dll
O20 - Winlogon Notify: opnollj - C:\WINDOWS\SYSTEM32\opnollj.dll
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users.WINDOWS\Documents\Settings\partnership.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: ieupdater2 (Microsoft IEUpdater2) - Unknown owner - C:\Documents and Settings\ie_updater.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Scan saved at 12:55:13, on 2007-04-23
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\atievxx.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Program Files\Java\jre1.5.0_10\bin\jucheck.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\clcl4.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HiJackThis_v2\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {03BE1327-07D5-4C3F-9277-6B11B4643392} - C:\WINDOWS\System32\awvut.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\System32\gqncxijw.dll
O2 - BHO: (no name) - {20A5D697-AA86-4794-801C-E1048107FA12} - C:\WINDOWS\System32\hgdax.dll (file missing)
O2 - BHO: (no name) - {26FAFD75-1005-41F6-978D-178C00165C0B} - C:\WINDOWS\System32\opnollj.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [RunOnce1Upd] "C:\Documents and Settings\miron.FILO\ie_updater.exe"
O4 - HKLM\..\Run: [clcl4] C:\WINDOWS\System32\clcl4.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\miron.FILO\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: awvut - C:\WINDOWS\System32\awvut.dll
O20 - Winlogon Notify: opnollj - C:\WINDOWS\SYSTEM32\opnollj.dll
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users.WINDOWS\Documents\Settings\partnership.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: ieupdater2 (Microsoft IEUpdater2) - Unknown owner - C:\Documents and Settings\ie_updater.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Salut,
Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis.
Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu.
A+
Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis.
Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu.
A+
4/2007, 9:33:09] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\miron.FILO\Bureau\VirtumundoBeGone.exe" )
[04/24/2007, 9:33:16] - Detected System Information:
[04/24/2007, 9:33:16] - Windows Version: 5.1.2600, Service Pack 1
[04/24/2007, 9:33:16] - Current Username: miron (Admin)
[04/24/2007, 9:33:17] - Windows is in NORMAL mode.
[04/24/2007, 9:33:17] - Searching for Browser Helper Objects:
[04/24/2007, 9:33:17] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[04/24/2007, 9:33:17] - BHO 2: {1557B435-8242-4686-9AA3-9265BF7525A4} ()
[04/24/2007, 9:33:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:33:17] - Checking for HKLM\...\Winlogon\Notify\gqncxijw
[04/24/2007, 9:33:17] - Key not found: HKLM\...\Winlogon\Notify\gqncxijw, continuing.
[04/24/2007, 9:33:17] - BHO 3: {20A5D697-AA86-4794-801C-E1048107FA12} ()
[04/24/2007, 9:33:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:33:17] - Checking for HKLM\...\Winlogon\Notify\hgdax
[04/24/2007, 9:33:17] - Key not found: HKLM\...\Winlogon\Notify\hgdax, continuing.
[04/24/2007, 9:33:17] - BHO 4: {26FAFD75-1005-41F6-978D-178C00165C0B} ()
[04/24/2007, 9:33:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:33:17] - Checking for HKLM\...\Winlogon\Notify\hgggedb
[04/24/2007, 9:33:17] - Found: HKLM\...\Winlogon\Notify\hgggedb - This is probably Virtumundo.
[04/24/2007, 9:33:17] - Assigning {26FAFD75-1005-41F6-978D-178C00165C0B} MSEvents Object
[04/24/2007, 9:33:17] - BHO list has been changed! Starting over...
[04/24/2007, 9:33:17] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[04/24/2007, 9:33:17] - BHO 2: {1557B435-8242-4686-9AA3-9265BF7525A4} ()
[04/24/2007, 9:33:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:33:17] - Checking for HKLM\...\Winlogon\Notify\gqncxijw
[04/24/2007, 9:33:17] - Key not found: HKLM\...\Winlogon\Notify\gqncxijw, continuing.
[04/24/2007, 9:33:17] - BHO 3: {20A5D697-AA86-4794-801C-E1048107FA12} ()
[04/24/2007, 9:33:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:33:17] - Checking for HKLM\...\Winlogon\Notify\hgdax
[04/24/2007, 9:33:17] - Key not found: HKLM\...\Winlogon\Notify\hgdax, continuing.
[04/24/2007, 9:33:17] - BHO 4: {26FAFD75-1005-41F6-978D-178C00165C0B} (MSEvents Object)
[04/24/2007, 9:33:17] - ALERT: Found MSEvents Object!
[04/24/2007, 9:33:17] - BHO 5: {53707962-6F74-2D53-2644-206D7942484F} ()
[04/24/2007, 9:33:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:33:17] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[04/24/2007, 9:33:17] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[04/24/2007, 9:33:17] - BHO 6: {75B3B2D4-5DA6-4F90-A5D4-437854ACD2BC} ()
[04/24/2007, 9:33:18] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:33:18] - Checking for HKLM\...\Winlogon\Notify\awvut
[04/24/2007, 9:33:18] - Found: HKLM\...\Winlogon\Notify\awvut - This is probably Virtumundo.
[04/24/2007, 9:33:18] - Assigning {75B3B2D4-5DA6-4F90-A5D4-437854ACD2BC} MSEvents Object
[04/24/2007, 9:33:18] - BHO list has been changed! Starting over...
[04/24/2007, 9:33:18] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[04/24/2007, 9:33:18] - BHO 2: {1557B435-8242-4686-9AA3-9265BF7525A4} ()
[04/24/2007, 9:33:18] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:33:18] - Checking for HKLM\...\Winlogon\Notify\gqncxijw
[04/24/2007, 9:33:18] - Key not found: HKLM\...\Winlogon\Notify\gqncxijw, continuing.
[04/24/2007, 9:33:18] - BHO 3: {20A5D697-AA86-4794-801C-E1048107FA12} ()
[04/24/2007, 9:33:18] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:33:18] - Checking for HKLM\...\Winlogon\Notify\hgdax
[04/24/2007, 9:33:18] - Key not found: HKLM\...\Winlogon\Notify\hgdax, continuing.
[04/24/2007, 9:33:18] - BHO 4: {26FAFD75-1005-41F6-978D-178C00165C0B} (MSEvents Object)
[04/24/2007, 9:33:18] - ALERT: Found MSEvents Object!
[04/24/2007, 9:33:18] - BHO 5: {53707962-6F74-2D53-2644-206D7942484F} ()
[04/24/2007, 9:33:18] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:33:18] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[04/24/2007, 9:33:18] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[04/24/2007, 9:33:18] - BHO 6: {75B3B2D4-5DA6-4F90-A5D4-437854ACD2BC} (MSEvents Object)
[04/24/2007, 9:33:18] - ALERT: Found MSEvents Object!
[04/24/2007, 9:33:18] - BHO 7: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/24/2007, 9:33:18] - Finished Searching Browser Helper Objects
[04/24/2007, 9:33:18] - *** Detected MSEvents Object
[04/24/2007, 9:33:18] - Trying to remove MSEvents Object...
[04/24/2007, 9:33:19] - Terminating Process: IEXPLORE.EXE
[04/24/2007, 9:35:32] - Terminating Process: RUNDLL32.EXE
[04/24/2007, 9:35:34] - Disabling Automatic Shell Restart
[04/24/2007, 9:35:34] - Terminating Process: EXPLORER.EXE
[04/24/2007, 9:35:35] - Suspending the NT Session Manager System Service
[04/24/2007, 9:35:35] - Terminating Windows NT Logon/Logoff Manager
[04/24/2007, 9:35:37] - Re-enabling Automatic Shell Restart
[04/24/2007, 9:35:37] - File to disable: C:\WINDOWS\System32\hgggedb.dll
[04/24/2007, 9:35:37] - Removing HKLM\...\Browser Helper Objects\{26FAFD75-1005-41F6-978D-178C00165C0B}
[04/24/2007, 9:35:37] - Removing HKCR\CLSID\{26FAFD75-1005-41F6-978D-178C00165C0B}
[04/24/2007, 9:35:38] - Adding Kill Bit for ActiveX for GUID: {26FAFD75-1005-41F6-978D-178C00165C0B}
[04/24/2007, 9:35:39] - Deleting ATLEvents/MSEvents Registry entries
[04/24/2007, 9:35:39] - Removing HKLM\...\Winlogon\Notify\hgggedb
[04/24/2007, 9:35:40] - Searching for Browser Helper Objects:
[04/24/2007, 9:35:40] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[04/24/2007, 9:35:40] - BHO 2: {1557B435-8242-4686-9AA3-9265BF7525A4} ()
[04/24/2007, 9:35:40] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:35:40] - Checking for HKLM\...\Winlogon\Notify\gqncxijw
[04/24/2007, 9:35:40] - Key not found: HKLM\...\Winlogon\Notify\gqncxijw, continuing.
[04/24/2007, 9:35:40] - BHO 3: {20A5D697-AA86-4794-801C-E1048107FA12} ()
[04/24/2007, 9:35:40] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:35:40] - Checking for HKLM\...\Winlogon\Notify\hgdax
[04/24/2007, 9:35:40] - Key not found: HKLM\...\Winlogon\Notify\hgdax, continuing.
[04/24/2007, 9:35:40] - BHO 4: {53707962-6F74-2D53-2644-206D7942484F} ()
[04/24/2007, 9:35:40] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:35:40] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[04/24/2007, 9:35:40] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[04/24/2007, 9:35:40] - BHO 5: {75B3B2D4-5DA6-4F90-A5D4-437854ACD2BC} (MSEvents Object)
[04/24/2007, 9:35:40] - ALERT: Found MSEvents Object!
[04/24/2007, 9:35:40] - BHO 6: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/24/2007, 9:35:40] - Finished Searching Browser Helper Objects
[04/24/2007, 9:35:40] - *** Detected MSEvents Object
[04/24/2007, 9:35:40] - Trying to remove MSEvents Object...
[04/24/2007, 9:35:42] - Terminating Process: IEXPLORE.EXE
[04/24/2007, 9:35:42] - Terminating Process: RUNDLL32.EXE
[04/24/2007, 9:35:42] - Disabling Automatic Shell Restart
[04/24/2007, 9:35:42] - Terminating Process: EXPLORER.EXE
[04/24/2007, 9:35:42] - Suspending the NT Session Manager System Service
[04/24/2007, 9:35:42] - Terminating Windows NT Logon/Logoff Manager
[04/24/2007, 9:35:42] - Re-enabling Automatic Shell Restart
[04/24/2007, 9:35:42] - File to disable: C:\WINDOWS\System32\awvut.dll
[04/24/2007, 9:35:42] - Renaming C:\WINDOWS\System32\awvut.dll -> C:\WINDOWS\System32\awvut.dll.vir
[04/24/2007, 9:35:43] - File successfully renamed!
[04/24/2007, 9:35:43] - Removing HKLM\...\Browser Helper Objects\{75B3B2D4-5DA6-4F90-A5D4-437854ACD2BC}
[04/24/2007, 9:35:43] - Removing HKCR\CLSID\{75B3B2D4-5DA6-4F90-A5D4-437854ACD2BC}
[04/24/2007, 9:35:43] - Adding Kill Bit for ActiveX for GUID: {75B3B2D4-5DA6-4F90-A5D4-437854ACD2BC}
[04/24/2007, 9:35:43] - Deleting ATLEvents/MSEvents Registry entries
[04/24/2007, 9:35:43] - Removing HKLM\...\Winlogon\Notify\awvut
[04/24/2007, 9:35:43] - Searching for Browser Helper Objects:
[04/24/2007, 9:35:43] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[04/24/2007, 9:35:43] - BHO 2: {1557B435-8242-4686-9AA3-9265BF7525A4} ()
[04/24/2007, 9:35:43] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:35:43] - Checking for HKLM\...\Winlogon\Notify\gqncxijw
[04/24/2007, 9:35:43] - Key not found: HKLM\...\Winlogon\Notify\gqncxijw, continuing.
[04/24/2007, 9:35:43] - BHO 3: {20A5D697-AA86-4794-801C-E1048107FA12} ()
[04/24/2007, 9:35:43] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:35:43] - Checking for HKLM\...\Winlogon\Notify\hgdax
[04/24/2007, 9:35:44] - Key not found: HKLM\...\Winlogon\Notify\hgdax, continuing.
[04/24/2007, 9:35:44] - BHO 4: {53707962-6F74-2D53-2644-206D7942484F} ()
[04/24/2007, 9:35:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:35:44] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[04/24/2007, 9:35:44] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[04/24/2007, 9:35:44] - BHO 5: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/24/2007, 9:35:44] - Finished Searching Browser Helper Objects
[04/24/2007, 9:35:44] - Finishing up...
[04/24/2007, 9:35:44] - A restart is needed.
[04/24/2007, 9:35:53] - Attempting to Restart via STOP error (Blue Screen!)
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 09:41:26, on 2007-04-24
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\atievxx.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\RAMASST.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\HiJackThis_v2\HiJackThis_v2.exe
C:\Program Files\Internet Explorer\iexplore.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\System32\gqncxijw.dll
O2 - BHO: (no name) - {20A5D697-AA86-4794-801C-E1048107FA12} - C:\WINDOWS\System32\hgdax.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [RunOnce1Upd] "C:\Documents and Settings\miron.FILO\ie_updater.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [PrintDrive] rundll32.exe "C:\WINDOWS\System32\necyjfdv.dll",setvm
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\miron.FILO\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: opnollj - opnollj.dll (file missing)
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users.WINDOWS\Documents\Settings\partnership.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: ieupdater2 (Microsoft IEUpdater2) - Unknown owner - C:\Documents and Settings\ie_updater.exe (file missing)
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
[04/24/2007, 9:33:16] - Detected System Information:
[04/24/2007, 9:33:16] - Windows Version: 5.1.2600, Service Pack 1
[04/24/2007, 9:33:16] - Current Username: miron (Admin)
[04/24/2007, 9:33:17] - Windows is in NORMAL mode.
[04/24/2007, 9:33:17] - Searching for Browser Helper Objects:
[04/24/2007, 9:33:17] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[04/24/2007, 9:33:17] - BHO 2: {1557B435-8242-4686-9AA3-9265BF7525A4} ()
[04/24/2007, 9:33:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:33:17] - Checking for HKLM\...\Winlogon\Notify\gqncxijw
[04/24/2007, 9:33:17] - Key not found: HKLM\...\Winlogon\Notify\gqncxijw, continuing.
[04/24/2007, 9:33:17] - BHO 3: {20A5D697-AA86-4794-801C-E1048107FA12} ()
[04/24/2007, 9:33:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:33:17] - Checking for HKLM\...\Winlogon\Notify\hgdax
[04/24/2007, 9:33:17] - Key not found: HKLM\...\Winlogon\Notify\hgdax, continuing.
[04/24/2007, 9:33:17] - BHO 4: {26FAFD75-1005-41F6-978D-178C00165C0B} ()
[04/24/2007, 9:33:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:33:17] - Checking for HKLM\...\Winlogon\Notify\hgggedb
[04/24/2007, 9:33:17] - Found: HKLM\...\Winlogon\Notify\hgggedb - This is probably Virtumundo.
[04/24/2007, 9:33:17] - Assigning {26FAFD75-1005-41F6-978D-178C00165C0B} MSEvents Object
[04/24/2007, 9:33:17] - BHO list has been changed! Starting over...
[04/24/2007, 9:33:17] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[04/24/2007, 9:33:17] - BHO 2: {1557B435-8242-4686-9AA3-9265BF7525A4} ()
[04/24/2007, 9:33:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:33:17] - Checking for HKLM\...\Winlogon\Notify\gqncxijw
[04/24/2007, 9:33:17] - Key not found: HKLM\...\Winlogon\Notify\gqncxijw, continuing.
[04/24/2007, 9:33:17] - BHO 3: {20A5D697-AA86-4794-801C-E1048107FA12} ()
[04/24/2007, 9:33:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:33:17] - Checking for HKLM\...\Winlogon\Notify\hgdax
[04/24/2007, 9:33:17] - Key not found: HKLM\...\Winlogon\Notify\hgdax, continuing.
[04/24/2007, 9:33:17] - BHO 4: {26FAFD75-1005-41F6-978D-178C00165C0B} (MSEvents Object)
[04/24/2007, 9:33:17] - ALERT: Found MSEvents Object!
[04/24/2007, 9:33:17] - BHO 5: {53707962-6F74-2D53-2644-206D7942484F} ()
[04/24/2007, 9:33:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:33:17] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[04/24/2007, 9:33:17] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[04/24/2007, 9:33:17] - BHO 6: {75B3B2D4-5DA6-4F90-A5D4-437854ACD2BC} ()
[04/24/2007, 9:33:18] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:33:18] - Checking for HKLM\...\Winlogon\Notify\awvut
[04/24/2007, 9:33:18] - Found: HKLM\...\Winlogon\Notify\awvut - This is probably Virtumundo.
[04/24/2007, 9:33:18] - Assigning {75B3B2D4-5DA6-4F90-A5D4-437854ACD2BC} MSEvents Object
[04/24/2007, 9:33:18] - BHO list has been changed! Starting over...
[04/24/2007, 9:33:18] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[04/24/2007, 9:33:18] - BHO 2: {1557B435-8242-4686-9AA3-9265BF7525A4} ()
[04/24/2007, 9:33:18] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:33:18] - Checking for HKLM\...\Winlogon\Notify\gqncxijw
[04/24/2007, 9:33:18] - Key not found: HKLM\...\Winlogon\Notify\gqncxijw, continuing.
[04/24/2007, 9:33:18] - BHO 3: {20A5D697-AA86-4794-801C-E1048107FA12} ()
[04/24/2007, 9:33:18] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:33:18] - Checking for HKLM\...\Winlogon\Notify\hgdax
[04/24/2007, 9:33:18] - Key not found: HKLM\...\Winlogon\Notify\hgdax, continuing.
[04/24/2007, 9:33:18] - BHO 4: {26FAFD75-1005-41F6-978D-178C00165C0B} (MSEvents Object)
[04/24/2007, 9:33:18] - ALERT: Found MSEvents Object!
[04/24/2007, 9:33:18] - BHO 5: {53707962-6F74-2D53-2644-206D7942484F} ()
[04/24/2007, 9:33:18] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:33:18] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[04/24/2007, 9:33:18] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[04/24/2007, 9:33:18] - BHO 6: {75B3B2D4-5DA6-4F90-A5D4-437854ACD2BC} (MSEvents Object)
[04/24/2007, 9:33:18] - ALERT: Found MSEvents Object!
[04/24/2007, 9:33:18] - BHO 7: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/24/2007, 9:33:18] - Finished Searching Browser Helper Objects
[04/24/2007, 9:33:18] - *** Detected MSEvents Object
[04/24/2007, 9:33:18] - Trying to remove MSEvents Object...
[04/24/2007, 9:33:19] - Terminating Process: IEXPLORE.EXE
[04/24/2007, 9:35:32] - Terminating Process: RUNDLL32.EXE
[04/24/2007, 9:35:34] - Disabling Automatic Shell Restart
[04/24/2007, 9:35:34] - Terminating Process: EXPLORER.EXE
[04/24/2007, 9:35:35] - Suspending the NT Session Manager System Service
[04/24/2007, 9:35:35] - Terminating Windows NT Logon/Logoff Manager
[04/24/2007, 9:35:37] - Re-enabling Automatic Shell Restart
[04/24/2007, 9:35:37] - File to disable: C:\WINDOWS\System32\hgggedb.dll
[04/24/2007, 9:35:37] - Removing HKLM\...\Browser Helper Objects\{26FAFD75-1005-41F6-978D-178C00165C0B}
[04/24/2007, 9:35:37] - Removing HKCR\CLSID\{26FAFD75-1005-41F6-978D-178C00165C0B}
[04/24/2007, 9:35:38] - Adding Kill Bit for ActiveX for GUID: {26FAFD75-1005-41F6-978D-178C00165C0B}
[04/24/2007, 9:35:39] - Deleting ATLEvents/MSEvents Registry entries
[04/24/2007, 9:35:39] - Removing HKLM\...\Winlogon\Notify\hgggedb
[04/24/2007, 9:35:40] - Searching for Browser Helper Objects:
[04/24/2007, 9:35:40] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[04/24/2007, 9:35:40] - BHO 2: {1557B435-8242-4686-9AA3-9265BF7525A4} ()
[04/24/2007, 9:35:40] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:35:40] - Checking for HKLM\...\Winlogon\Notify\gqncxijw
[04/24/2007, 9:35:40] - Key not found: HKLM\...\Winlogon\Notify\gqncxijw, continuing.
[04/24/2007, 9:35:40] - BHO 3: {20A5D697-AA86-4794-801C-E1048107FA12} ()
[04/24/2007, 9:35:40] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:35:40] - Checking for HKLM\...\Winlogon\Notify\hgdax
[04/24/2007, 9:35:40] - Key not found: HKLM\...\Winlogon\Notify\hgdax, continuing.
[04/24/2007, 9:35:40] - BHO 4: {53707962-6F74-2D53-2644-206D7942484F} ()
[04/24/2007, 9:35:40] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:35:40] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[04/24/2007, 9:35:40] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[04/24/2007, 9:35:40] - BHO 5: {75B3B2D4-5DA6-4F90-A5D4-437854ACD2BC} (MSEvents Object)
[04/24/2007, 9:35:40] - ALERT: Found MSEvents Object!
[04/24/2007, 9:35:40] - BHO 6: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/24/2007, 9:35:40] - Finished Searching Browser Helper Objects
[04/24/2007, 9:35:40] - *** Detected MSEvents Object
[04/24/2007, 9:35:40] - Trying to remove MSEvents Object...
[04/24/2007, 9:35:42] - Terminating Process: IEXPLORE.EXE
[04/24/2007, 9:35:42] - Terminating Process: RUNDLL32.EXE
[04/24/2007, 9:35:42] - Disabling Automatic Shell Restart
[04/24/2007, 9:35:42] - Terminating Process: EXPLORER.EXE
[04/24/2007, 9:35:42] - Suspending the NT Session Manager System Service
[04/24/2007, 9:35:42] - Terminating Windows NT Logon/Logoff Manager
[04/24/2007, 9:35:42] - Re-enabling Automatic Shell Restart
[04/24/2007, 9:35:42] - File to disable: C:\WINDOWS\System32\awvut.dll
[04/24/2007, 9:35:42] - Renaming C:\WINDOWS\System32\awvut.dll -> C:\WINDOWS\System32\awvut.dll.vir
[04/24/2007, 9:35:43] - File successfully renamed!
[04/24/2007, 9:35:43] - Removing HKLM\...\Browser Helper Objects\{75B3B2D4-5DA6-4F90-A5D4-437854ACD2BC}
[04/24/2007, 9:35:43] - Removing HKCR\CLSID\{75B3B2D4-5DA6-4F90-A5D4-437854ACD2BC}
[04/24/2007, 9:35:43] - Adding Kill Bit for ActiveX for GUID: {75B3B2D4-5DA6-4F90-A5D4-437854ACD2BC}
[04/24/2007, 9:35:43] - Deleting ATLEvents/MSEvents Registry entries
[04/24/2007, 9:35:43] - Removing HKLM\...\Winlogon\Notify\awvut
[04/24/2007, 9:35:43] - Searching for Browser Helper Objects:
[04/24/2007, 9:35:43] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[04/24/2007, 9:35:43] - BHO 2: {1557B435-8242-4686-9AA3-9265BF7525A4} ()
[04/24/2007, 9:35:43] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:35:43] - Checking for HKLM\...\Winlogon\Notify\gqncxijw
[04/24/2007, 9:35:43] - Key not found: HKLM\...\Winlogon\Notify\gqncxijw, continuing.
[04/24/2007, 9:35:43] - BHO 3: {20A5D697-AA86-4794-801C-E1048107FA12} ()
[04/24/2007, 9:35:43] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:35:43] - Checking for HKLM\...\Winlogon\Notify\hgdax
[04/24/2007, 9:35:44] - Key not found: HKLM\...\Winlogon\Notify\hgdax, continuing.
[04/24/2007, 9:35:44] - BHO 4: {53707962-6F74-2D53-2644-206D7942484F} ()
[04/24/2007, 9:35:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2007, 9:35:44] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[04/24/2007, 9:35:44] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[04/24/2007, 9:35:44] - BHO 5: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/24/2007, 9:35:44] - Finished Searching Browser Helper Objects
[04/24/2007, 9:35:44] - Finishing up...
[04/24/2007, 9:35:44] - A restart is needed.
[04/24/2007, 9:35:53] - Attempting to Restart via STOP error (Blue Screen!)
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 09:41:26, on 2007-04-24
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\atievxx.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\RAMASST.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\HiJackThis_v2\HiJackThis_v2.exe
C:\Program Files\Internet Explorer\iexplore.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\System32\gqncxijw.dll
O2 - BHO: (no name) - {20A5D697-AA86-4794-801C-E1048107FA12} - C:\WINDOWS\System32\hgdax.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [RunOnce1Upd] "C:\Documents and Settings\miron.FILO\ie_updater.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [PrintDrive] rundll32.exe "C:\WINDOWS\System32\necyjfdv.dll",setvm
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\miron.FILO\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: opnollj - opnollj.dll (file missing)
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users.WINDOWS\Documents\Settings\partnership.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: ieupdater2 (Microsoft IEUpdater2) - Unknown owner - C:\Documents and Settings\ie_updater.exe (file missing)
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
