[Trojan-Virus] Vundo-gen et Agent-HZR
Résolu/Fermé
A voir également:
- [Trojan-Virus] Vundo-gen et Agent-HZR
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Un agent immobilier a préparé un diaporama pour présenter une maison à vendre. appliquez la mise en forme de la première diapositive à toutes les autres. quel est le code du portail ? ✓ - Forum Powerpoint
- Svchost.exe virus - Guide
- Market feedback agent - Forum Mobile
- Trojan gen - Forum Virus
27 réponses
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 320
21 août 2007 à 10:12
21 août 2007 à 10:12
Salut
Si tu ne veux plus affecté, va falloir eviter les cracks.
Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
Double-clique VundoFix.exe afin de le lancer.
Clique sur le bouton Scan for Vundo.
Lorsque le scan est complété, clique sur le bouton Remove Vundo.
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
Démarre ton PC à nouveau.
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
A+
Si tu ne veux plus affecté, va falloir eviter les cracks.
Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
Double-clique VundoFix.exe afin de le lancer.
Clique sur le bouton Scan for Vundo.
Lorsque le scan est complété, clique sur le bouton Remove Vundo.
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
Démarre ton PC à nouveau.
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
A+
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 320
21 août 2007 à 13:44
21 août 2007 à 13:44
Ok.
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe]
et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe]
et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Par curiosité j'ai refait un scan bitdefender voila les details:
C:\System Volume Information\_restore{22C0D2D9-5C79-4E29-AE47-6312543050C1}\RP101\A0011790.exe Infected with: Trojan.Spy.Agent.HZ
C:\System Volume Information\_restore{22C0D2D9-5C79-4E29-AE47-6312543050C1}\RP101\A0011790.exe Disinfection Failed
C:\System Volume Information\_restore{22C0D2D9-5C79-4E29-AE47-6312543050C1}\RP101\A0011790.exe Deleted
C:\System Volume Information\_restore{22C0D2D9-5C79-4E29-AE47-6312543050C1}\RP101\A0011805.ddl Infected with: DeepScan:Generic.Virtumonde.1.4B346D8A
C:\System Volume Information\_restore{22C0D2D9-5C79-4E29-AE47-6312543050C1}\RP101\A0011805.ddl Disinfection Failed
C:\System Volume Information\_restore{22C0D2D9-5C79-4E29-AE47-6312543050C1}\RP101\A0011805.ddl Deleted
C:\WINDOWS\system32\ssqpn.dll Infected with: DeepScan:Generic.Virtumonde.1.315B1C3D
C:\WINDOWS\system32\ssqpn.dll Disinfection failed
C:\WINDOWS\system32\ssqpn.dll Delete Failed
sinon Avast me donne une alerte de cheval de troie en lancant Combofix
2007-08-21 14:31 Fred 1328 Sign of "Win32:Dadobra-EY [Trj]" has been found in "C:\ComboFix\Cfiles.cf" file.
est-ce normal dois-je ignorer et continuer?
merci
C:\System Volume Information\_restore{22C0D2D9-5C79-4E29-AE47-6312543050C1}\RP101\A0011790.exe Infected with: Trojan.Spy.Agent.HZ
C:\System Volume Information\_restore{22C0D2D9-5C79-4E29-AE47-6312543050C1}\RP101\A0011790.exe Disinfection Failed
C:\System Volume Information\_restore{22C0D2D9-5C79-4E29-AE47-6312543050C1}\RP101\A0011790.exe Deleted
C:\System Volume Information\_restore{22C0D2D9-5C79-4E29-AE47-6312543050C1}\RP101\A0011805.ddl Infected with: DeepScan:Generic.Virtumonde.1.4B346D8A
C:\System Volume Information\_restore{22C0D2D9-5C79-4E29-AE47-6312543050C1}\RP101\A0011805.ddl Disinfection Failed
C:\System Volume Information\_restore{22C0D2D9-5C79-4E29-AE47-6312543050C1}\RP101\A0011805.ddl Deleted
C:\WINDOWS\system32\ssqpn.dll Infected with: DeepScan:Generic.Virtumonde.1.315B1C3D
C:\WINDOWS\system32\ssqpn.dll Disinfection failed
C:\WINDOWS\system32\ssqpn.dll Delete Failed
sinon Avast me donne une alerte de cheval de troie en lancant Combofix
2007-08-21 14:31 Fred 1328 Sign of "Win32:Dadobra-EY [Trj]" has been found in "C:\ComboFix\Cfiles.cf" file.
est-ce normal dois-je ignorer et continuer?
merci
bon j'ai croisé les doights et te fais confiance voila le rapport Combofix (malgres que avast n'ai pas vraimen apprécié a 3 reprises lol)
ComboFix 07-08-17.2 - "Fred" 2007-08-21 16:22:12.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.804 [GMT 2:00]
* Created a new restore point
((((((((((((((((((((((((( Files Created from 2007-07-21 to 2007-08-21 )))))))))))))))))))))))))))))))
2007-08-21 14:31 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-21 10:32 6,513 ---hs---- C:\WINDOWS\system32\npqss.bak1
2007-08-21 10:32 298,080 --a------ C:\WINDOWS\system32\ssqpn.dll
2007-08-21 09:02 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-08-21 08:52 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2007-08-20 17:33 43,542 --a------ C:\WINDOWS\system32\awtstts.dll
2007-08-20 16:34 <REP> d-------- C:\WINDOWS\ShellNew
2007-08-20 16:12 <REP> d-------- C:\Program Files\CDex_150
2007-08-20 11:45 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-08-20 17:40 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-08-20 13:18 --------- d-------- C:\Program Files\WowCartographe
2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr
2007-07-06 19:06 --------- d-------- C:\DOCUME~1\Fred\APPLIC~1\teamspeak2
2007-06-27 16:23 --------- d-------- C:\Program Files\Real Alternative
2007-06-27 16:23 --------- d-------- C:\DOCUME~1\Fred\APPLIC~1\Real
2007-06-27 16:15 --------- d-------- C:\Program Files\Matroska Pack
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
--------- C:\Program Files\Hijackthis Version Française
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1849207E-CF8B-4B8A-B60C-A9C05AF73383}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BA44A1A6-DA0F-4E72-832F-F8CA42D9E74A}]
2007-08-21 10:32 298080 --a------ C:\WINDOWS\system32\ssqpn.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CC358019-D328-40B4-8E2D-818CE142616C}]
2007-08-20 17:33 43542 --a------ C:\WINDOWS\system32\awtstts.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 09:12]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 16:10 C:\WINDOWS\system32\bthprops.cpl]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{CC358019-D328-40B4-8E2D-818CE142616C}"= C:\WINDOWS\system32\awtstts.dll [2007-08-20 17:33 43542]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtstts]
awtstts.dll 2007-08-20 17:33 43542 C:\WINDOWS\system32\awtstts.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpn]
C:\WINDOWS\system32\ssqpn.dll 2007-08-21 10:32 298080 C:\WINDOWS\system32\ssqpn.dll
R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}]
AutoRun\command- SCVVHSOT.exe
Open\command- SCVVHSOT.exe
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-21 16:23:26
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Completion time: 2007-08-21 16:24:11
--- E O F ---
ComboFix 07-08-17.2 - "Fred" 2007-08-21 16:22:12.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.804 [GMT 2:00]
* Created a new restore point
((((((((((((((((((((((((( Files Created from 2007-07-21 to 2007-08-21 )))))))))))))))))))))))))))))))
2007-08-21 14:31 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-21 10:32 6,513 ---hs---- C:\WINDOWS\system32\npqss.bak1
2007-08-21 10:32 298,080 --a------ C:\WINDOWS\system32\ssqpn.dll
2007-08-21 09:02 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-08-21 08:52 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2007-08-20 17:33 43,542 --a------ C:\WINDOWS\system32\awtstts.dll
2007-08-20 16:34 <REP> d-------- C:\WINDOWS\ShellNew
2007-08-20 16:12 <REP> d-------- C:\Program Files\CDex_150
2007-08-20 11:45 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-08-20 17:40 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-08-20 13:18 --------- d-------- C:\Program Files\WowCartographe
2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr
2007-07-06 19:06 --------- d-------- C:\DOCUME~1\Fred\APPLIC~1\teamspeak2
2007-06-27 16:23 --------- d-------- C:\Program Files\Real Alternative
2007-06-27 16:23 --------- d-------- C:\DOCUME~1\Fred\APPLIC~1\Real
2007-06-27 16:15 --------- d-------- C:\Program Files\Matroska Pack
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
--------- C:\Program Files\Hijackthis Version Française
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1849207E-CF8B-4B8A-B60C-A9C05AF73383}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BA44A1A6-DA0F-4E72-832F-F8CA42D9E74A}]
2007-08-21 10:32 298080 --a------ C:\WINDOWS\system32\ssqpn.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CC358019-D328-40B4-8E2D-818CE142616C}]
2007-08-20 17:33 43542 --a------ C:\WINDOWS\system32\awtstts.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 09:12]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 16:10 C:\WINDOWS\system32\bthprops.cpl]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{CC358019-D328-40B4-8E2D-818CE142616C}"= C:\WINDOWS\system32\awtstts.dll [2007-08-20 17:33 43542]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtstts]
awtstts.dll 2007-08-20 17:33 43542 C:\WINDOWS\system32\awtstts.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpn]
C:\WINDOWS\system32\ssqpn.dll 2007-08-21 10:32 298080 C:\WINDOWS\system32\ssqpn.dll
R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}]
AutoRun\command- SCVVHSOT.exe
Open\command- SCVVHSOT.exe
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-21 16:23:26
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Completion time: 2007-08-21 16:24:11
--- E O F ---
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
En attendant sur ce forum sans rien faire de spécial Avast ma envoyé une alerte de trojan
Win32:Tiny-IF [Trj]
un de plus sans rien faire :s donc je suppose que je suis tjrs bien infecté
Win32:Tiny-IF [Trj]
un de plus sans rien faire :s donc je suppose que je suis tjrs bien infecté
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 320
21 août 2007 à 22:52
21 août 2007 à 22:52
Re,
télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.
C:\WINDOWS\system32\npqss.bak1
C:\WINDOWS\system32\ssqpn.dll
C:\WINDOWS\system32\awtstts.dll
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
Remet un hijackthis + un combofix
A+
télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.
C:\WINDOWS\system32\npqss.bak1
C:\WINDOWS\system32\ssqpn.dll
C:\WINDOWS\system32\awtstts.dll
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
Remet un hijackthis + un combofix
A+
merci regis!! en 10min j'ai subiit pas mal d'attaques bloquées par avast là
Rapport de OTmoveit apres reboot:
C:\WINDOWS\system32\npqss.bak1 moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\ssqpn.dll
C:\WINDOWS\system32\ssqpn.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\ssqpn.dll scheduled to be moved on reboot.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\awtstts.dll
C:\WINDOWS\system32\awtstts.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\awtstts.dll scheduled to be moved on reboot.
Created on 08/21/2007 22:54:58
Rapport Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 22:59:02, on 21/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://televisionsurpc.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1849207E-CF8B-4B8A-B60C-A9C05AF73383} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A9EDE1DD-E49C-43DA-A921-355FEFC4FCE9} - C:\WINDOWS\system32\ssqpn.dll
O2 - BHO: (no name) - {CC358019-D328-40B4-8E2D-818CE142616C} - C:\WINDOWS\system32\awtstts.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: awtstts - C:\WINDOWS\SYSTEM32\awtstts.dll
O20 - Winlogon Notify: ssqpn - C:\WINDOWS\system32\ssqpn.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
Rappport Combofix:
ComboFix 07-08-17.2 - "Fred" 2007-08-21 22:59:36.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.863 [GMT 2:00]
((((((((((((((((((((((((( Files Created from 2007-07-21 to 2007-08-21 )))))))))))))))))))))))))))))))
2007-08-21 22:32 753,851 ---hs---- C:\WINDOWS\system32\npqss.bak2
2007-08-21 21:29 <REP> d-------- C:\Program Files\Panda Security
2007-08-21 20:44 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-08-21 14:31 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-21 10:32 298,080 --a------ C:\WINDOWS\system32\ssqpn.dll
2007-08-21 09:02 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-08-21 08:52 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2007-08-20 17:33 43,542 --a------ C:\WINDOWS\system32\awtstts.dll
2007-08-20 16:34 <REP> d-------- C:\WINDOWS\ShellNew
2007-08-20 16:12 <REP> d-------- C:\Program Files\CDex_150
2007-08-20 11:45 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-08-20 17:40 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-08-20 13:18 --------- d-------- C:\Program Files\WowCartographe
2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr
2007-07-06 19:06 --------- d-------- C:\DOCUME~1\Fred\APPLIC~1\teamspeak2
2007-06-27 16:23 --------- d-------- C:\Program Files\Real Alternative
2007-06-27 16:23 --------- d-------- C:\DOCUME~1\Fred\APPLIC~1\Real
2007-06-27 16:15 --------- d-------- C:\Program Files\Matroska Pack
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
--------- C:\Program Files\Hijackthis Version Française
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1849207E-CF8B-4B8A-B60C-A9C05AF73383}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A9EDE1DD-E49C-43DA-A921-355FEFC4FCE9}]
2007-08-21 10:32 298080 --a------ C:\WINDOWS\system32\ssqpn.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CC358019-D328-40B4-8E2D-818CE142616C}]
2007-08-20 17:33 43542 --a------ C:\WINDOWS\system32\awtstts.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 09:12]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 16:10 C:\WINDOWS\system32\bthprops.cpl]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{CC358019-D328-40B4-8E2D-818CE142616C}"= C:\WINDOWS\system32\awtstts.dll [2007-08-20 17:33 43542]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtstts]
awtstts.dll 2007-08-20 17:33 43542 C:\WINDOWS\system32\awtstts.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpn]
C:\WINDOWS\system32\ssqpn.dll 2007-08-21 10:32 298080 C:\WINDOWS\system32\ssqpn.dll
R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}]
AutoRun\command- SCVVHSOT.exe
Open\command- SCVVHSOT.exe
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-21 23:00:52
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Completion time: 2007-08-21 23:01:39
C:\ComboFix2.txt ... 2007-08-21 16:24
--- E O F ---
voila voila ^^
Rapport de OTmoveit apres reboot:
C:\WINDOWS\system32\npqss.bak1 moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\ssqpn.dll
C:\WINDOWS\system32\ssqpn.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\ssqpn.dll scheduled to be moved on reboot.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\awtstts.dll
C:\WINDOWS\system32\awtstts.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\awtstts.dll scheduled to be moved on reboot.
Created on 08/21/2007 22:54:58
Rapport Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 22:59:02, on 21/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://televisionsurpc.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1849207E-CF8B-4B8A-B60C-A9C05AF73383} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A9EDE1DD-E49C-43DA-A921-355FEFC4FCE9} - C:\WINDOWS\system32\ssqpn.dll
O2 - BHO: (no name) - {CC358019-D328-40B4-8E2D-818CE142616C} - C:\WINDOWS\system32\awtstts.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: awtstts - C:\WINDOWS\SYSTEM32\awtstts.dll
O20 - Winlogon Notify: ssqpn - C:\WINDOWS\system32\ssqpn.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
Rappport Combofix:
ComboFix 07-08-17.2 - "Fred" 2007-08-21 22:59:36.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.863 [GMT 2:00]
((((((((((((((((((((((((( Files Created from 2007-07-21 to 2007-08-21 )))))))))))))))))))))))))))))))
2007-08-21 22:32 753,851 ---hs---- C:\WINDOWS\system32\npqss.bak2
2007-08-21 21:29 <REP> d-------- C:\Program Files\Panda Security
2007-08-21 20:44 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-08-21 14:31 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-21 10:32 298,080 --a------ C:\WINDOWS\system32\ssqpn.dll
2007-08-21 09:02 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-08-21 08:52 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2007-08-20 17:33 43,542 --a------ C:\WINDOWS\system32\awtstts.dll
2007-08-20 16:34 <REP> d-------- C:\WINDOWS\ShellNew
2007-08-20 16:12 <REP> d-------- C:\Program Files\CDex_150
2007-08-20 11:45 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-08-20 17:40 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-08-20 13:18 --------- d-------- C:\Program Files\WowCartographe
2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr
2007-07-06 19:06 --------- d-------- C:\DOCUME~1\Fred\APPLIC~1\teamspeak2
2007-06-27 16:23 --------- d-------- C:\Program Files\Real Alternative
2007-06-27 16:23 --------- d-------- C:\DOCUME~1\Fred\APPLIC~1\Real
2007-06-27 16:15 --------- d-------- C:\Program Files\Matroska Pack
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
--------- C:\Program Files\Hijackthis Version Française
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1849207E-CF8B-4B8A-B60C-A9C05AF73383}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A9EDE1DD-E49C-43DA-A921-355FEFC4FCE9}]
2007-08-21 10:32 298080 --a------ C:\WINDOWS\system32\ssqpn.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CC358019-D328-40B4-8E2D-818CE142616C}]
2007-08-20 17:33 43542 --a------ C:\WINDOWS\system32\awtstts.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 09:12]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 16:10 C:\WINDOWS\system32\bthprops.cpl]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{CC358019-D328-40B4-8E2D-818CE142616C}"= C:\WINDOWS\system32\awtstts.dll [2007-08-20 17:33 43542]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtstts]
awtstts.dll 2007-08-20 17:33 43542 C:\WINDOWS\system32\awtstts.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpn]
C:\WINDOWS\system32\ssqpn.dll 2007-08-21 10:32 298080 C:\WINDOWS\system32\ssqpn.dll
R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}]
AutoRun\command- SCVVHSOT.exe
Open\command- SCVVHSOT.exe
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-21 23:00:52
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Completion time: 2007-08-21 23:01:39
C:\ComboFix2.txt ... 2007-08-21 16:24
--- E O F ---
voila voila ^^
Avant de partir je suis tombé sur le Post de Green Day "supprimer vundo et virtumonde"
supprimer le trojan vundo virtumonde
j'ai donc appliqué a la lettre,
scan bitdefender:
BitDefender Online Scanner - Real Time Virus Report
Generated at: Wed, Aug 22, 2007 - 08:46:01
Scan Info
Scanned Files 181218
Infected Files 2
Virus Detected
Trojan.Vundo.DMU
DeepScan:Generic.Virtumonde.1.315B1C3D
puis vundofix:
VundoFix V6.5.7
Checking Java version...
Scan started at 08:48:21 22/08/2007
Listing files found while scanning....
C:\WINDOWS\system32\npqss.bak2
C:\WINDOWS\system32\npqss.ini
C:\WINDOWS\system32\ssqpn.dll
Beginning removal...
Attempting to delete C:\WINDOWS\system32\npqss.bak2
C:\WINDOWS\system32\npqss.bak2 Has been deleted!
Attempting to delete C:\WINDOWS\system32\npqss.ini
C:\WINDOWS\system32\npqss.ini Has been deleted!
Attempting to delete C:\WINDOWS\system32\ssqpn.dll
C:\WINDOWS\system32\ssqpn.dll Has been deleted!
Performing Repairs to the registry.
Done!
Apres ca la ligne O2 avec ssqpn.dll en Hijackthis était en (no name) (file missing) je l'ai donc fix it
enssuite j'ai fait le VundoBeGone:
[08/22/2007, 8:55:31] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Fred\Bureau\VirtumundoBeGone.exe" )
[08/22/2007, 8:55:39] - Detected System Information:
[08/22/2007, 8:55:39] - Windows Version: 5.1.2600, Service Pack 2
[08/22/2007, 8:55:39] - Current Username: Fred (Admin)
[08/22/2007, 8:55:39] - Windows is in NORMAL mode.
[08/22/2007, 8:55:39] - Searching for Browser Helper Objects:
[08/22/2007, 8:55:39] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[08/22/2007, 8:55:39] - BHO 2: {1849207E-CF8B-4B8A-B60C-A9C05AF73383} ()
[08/22/2007, 8:55:39] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/22/2007, 8:55:39] - No filename found. Continuing.
[08/22/2007, 8:55:39] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[08/22/2007, 8:55:39] - BHO 4: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[08/22/2007, 8:55:39] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/22/2007, 8:55:39] - No filename found. Continuing.
[08/22/2007, 8:55:39] - BHO 5: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[08/22/2007, 8:55:39] - BHO 6: {CC358019-D328-40B4-8E2D-818CE142616C} ()
[08/22/2007, 8:55:39] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/22/2007, 8:55:39] - Checking for HKLM\...\Winlogon\Notify\awtstts
[08/22/2007, 8:55:39] - Found: HKLM\...\Winlogon\Notify\awtstts - This is probably Virtumundo.
[08/22/2007, 8:55:39] - Assigning {CC358019-D328-40B4-8E2D-818CE142616C} MSEvents Object
[08/22/2007, 8:55:39] - BHO list has been changed! Starting over...
[08/22/2007, 8:55:39] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[08/22/2007, 8:55:39] - BHO 2: {1849207E-CF8B-4B8A-B60C-A9C05AF73383} ()
[08/22/2007, 8:55:39] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/22/2007, 8:55:39] - No filename found. Continuing.
[08/22/2007, 8:55:39] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[08/22/2007, 8:55:39] - BHO 4: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[08/22/2007, 8:55:39] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/22/2007, 8:55:39] - No filename found. Continuing.
[08/22/2007, 8:55:39] - BHO 5: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[08/22/2007, 8:55:39] - BHO 6: {CC358019-D328-40B4-8E2D-818CE142616C} (MSEvents Object)
[08/22/2007, 8:55:39] - ALERT: Found MSEvents Object!
[08/22/2007, 8:55:39] - Finished Searching Browser Helper Objects
[08/22/2007, 8:55:39] - *** Detected MSEvents Object
[08/22/2007, 8:55:39] - Trying to remove MSEvents Object...
[08/22/2007, 8:55:40] - Terminating Process: IEXPLORE.EXE
[08/22/2007, 8:55:41] - Terminating Process: RUNDLL32.EXE
[08/22/2007, 8:55:41] - Disabling Automatic Shell Restart
[08/22/2007, 8:55:41] - Terminating Process: EXPLORER.EXE
[08/22/2007, 8:55:41] - Suspending the NT Session Manager System Service
[08/22/2007, 8:55:41] - Terminating Windows NT Logon/Logoff Manager
[08/22/2007, 8:55:41] - Re-enabling Automatic Shell Restart
[08/22/2007, 8:55:41] - File to disable: C:\WINDOWS\system32\awtstts.dll
[08/22/2007, 8:55:41] - Renaming C:\WINDOWS\system32\awtstts.dll -> C:\WINDOWS\system32\awtstts.dll.vir
[08/22/2007, 8:55:41] - File successfully renamed!
[08/22/2007, 8:55:41] - Removing HKLM\...\Browser Helper Objects\{CC358019-D328-40B4-8E2D-818CE142616C}
[08/22/2007, 8:55:41] - Removing HKCR\CLSID\{CC358019-D328-40B4-8E2D-818CE142616C}
[08/22/2007, 8:55:42] - Adding Kill Bit for ActiveX for GUID: {CC358019-D328-40B4-8E2D-818CE142616C}
[08/22/2007, 8:55:42] - Deleting ATLEvents/MSEvents Registry entries
[08/22/2007, 8:55:42] - Removing HKLM\...\Winlogon\Notify\awtstts
[08/22/2007, 8:55:42] - Searching for Browser Helper Objects:
[08/22/2007, 8:55:42] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[08/22/2007, 8:55:42] - BHO 2: {1849207E-CF8B-4B8A-B60C-A9C05AF73383} ()
[08/22/2007, 8:55:42] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/22/2007, 8:55:42] - No filename found. Continuing.
[08/22/2007, 8:55:42] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[08/22/2007, 8:55:42] - BHO 4: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[08/22/2007, 8:55:42] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/22/2007, 8:55:42] - No filename found. Continuing.
[08/22/2007, 8:55:42] - BHO 5: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[08/22/2007, 8:55:42] - Finished Searching Browser Helper Objects
[08/22/2007, 8:55:42] - Finishing up...
[08/22/2007, 8:55:42] - A restart is needed.
[08/22/2007, 8:55:50] - Attempting to Restart via STOP error (Blue Screen!)
puis ComboFix en mode sans echec:
ComboFix 07-08-17.2 - "Administrateur" 2007-08-22 9:05:27.3 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1055 [GMT 2:00]
((((((((((((((((((((((((( Files Created from 2007-07-22 to 2007-08-22 )))))))))))))))))))))))))))))))
2007-08-22 09:04 <REP> d-------- C:\DOCUME~1\ADMINI~1\Favoris
2007-08-22 09:04 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau
2007-08-22 09:03 524,288 --ah----- C:\DOCUME~1\ADMINI~1\NTUSER.DAT
2007-08-22 09:03 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer
2007-08-22 09:03 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage r‚seau
2007-08-22 09:03 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression
2007-08-22 09:03 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles
2007-08-22 09:03 <REP> d-------- C:\DOCUME~1\ADMINI~1\Mes documents
2007-08-22 08:48 <REP> d-------- C:\VundoFix Backups
2007-08-21 21:29 <REP> d-------- C:\Program Files\Panda Security
2007-08-21 20:44 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-08-21 14:31 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-21 09:02 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-08-21 08:52 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2007-08-20 17:33 43,542 --a------ C:\WINDOWS\system32\awtstts.dll.vir
2007-08-20 16:34 <REP> d-------- C:\WINDOWS\ShellNew
2007-08-20 16:12 <REP> d-------- C:\Program Files\CDex_150
2007-08-20 11:45 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-08-20 17:40 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-08-20 13:18 --------- d-------- C:\Program Files\WowCartographe
2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr
2007-06-27 16:23 --------- d-------- C:\Program Files\Real Alternative
2007-06-27 16:15 --------- d-------- C:\Program Files\Matroska Pack
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
--------- C:\Program Files\Hijackthis Version Française
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1849207E-CF8B-4B8A-B60C-A9C05AF73383}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 09:12]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 16:10 C:\WINDOWS\system32\bthprops.cpl]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 16:09]
S3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-22 09:06:37
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Completion time: 2007-08-22 9:07:17
--- E O F ---
et voila le dernier rapport Hijack:
Logfile of HijackThis v1.99.1
Scan saved at 09:09:56, on 22/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://televisionsurpc.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1849207E-CF8B-4B8A-B60C-A9C05AF73383} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
il n'y a plus les dll du virus en O20 ni en O2 donc je suppose qu'il a été éradiqué avec succes?
Dites si je me trompe (je verais a mon retour dans 4jours)
Et dois-je Fix avec Hijack les lignes O2 ou il y a (no name) (no file) ?
Merci
supprimer le trojan vundo virtumonde
j'ai donc appliqué a la lettre,
scan bitdefender:
BitDefender Online Scanner - Real Time Virus Report
Generated at: Wed, Aug 22, 2007 - 08:46:01
Scan Info
Scanned Files 181218
Infected Files 2
Virus Detected
Trojan.Vundo.DMU
DeepScan:Generic.Virtumonde.1.315B1C3D
puis vundofix:
VundoFix V6.5.7
Checking Java version...
Scan started at 08:48:21 22/08/2007
Listing files found while scanning....
C:\WINDOWS\system32\npqss.bak2
C:\WINDOWS\system32\npqss.ini
C:\WINDOWS\system32\ssqpn.dll
Beginning removal...
Attempting to delete C:\WINDOWS\system32\npqss.bak2
C:\WINDOWS\system32\npqss.bak2 Has been deleted!
Attempting to delete C:\WINDOWS\system32\npqss.ini
C:\WINDOWS\system32\npqss.ini Has been deleted!
Attempting to delete C:\WINDOWS\system32\ssqpn.dll
C:\WINDOWS\system32\ssqpn.dll Has been deleted!
Performing Repairs to the registry.
Done!
Apres ca la ligne O2 avec ssqpn.dll en Hijackthis était en (no name) (file missing) je l'ai donc fix it
enssuite j'ai fait le VundoBeGone:
[08/22/2007, 8:55:31] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Fred\Bureau\VirtumundoBeGone.exe" )
[08/22/2007, 8:55:39] - Detected System Information:
[08/22/2007, 8:55:39] - Windows Version: 5.1.2600, Service Pack 2
[08/22/2007, 8:55:39] - Current Username: Fred (Admin)
[08/22/2007, 8:55:39] - Windows is in NORMAL mode.
[08/22/2007, 8:55:39] - Searching for Browser Helper Objects:
[08/22/2007, 8:55:39] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[08/22/2007, 8:55:39] - BHO 2: {1849207E-CF8B-4B8A-B60C-A9C05AF73383} ()
[08/22/2007, 8:55:39] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/22/2007, 8:55:39] - No filename found. Continuing.
[08/22/2007, 8:55:39] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[08/22/2007, 8:55:39] - BHO 4: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[08/22/2007, 8:55:39] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/22/2007, 8:55:39] - No filename found. Continuing.
[08/22/2007, 8:55:39] - BHO 5: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[08/22/2007, 8:55:39] - BHO 6: {CC358019-D328-40B4-8E2D-818CE142616C} ()
[08/22/2007, 8:55:39] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/22/2007, 8:55:39] - Checking for HKLM\...\Winlogon\Notify\awtstts
[08/22/2007, 8:55:39] - Found: HKLM\...\Winlogon\Notify\awtstts - This is probably Virtumundo.
[08/22/2007, 8:55:39] - Assigning {CC358019-D328-40B4-8E2D-818CE142616C} MSEvents Object
[08/22/2007, 8:55:39] - BHO list has been changed! Starting over...
[08/22/2007, 8:55:39] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[08/22/2007, 8:55:39] - BHO 2: {1849207E-CF8B-4B8A-B60C-A9C05AF73383} ()
[08/22/2007, 8:55:39] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/22/2007, 8:55:39] - No filename found. Continuing.
[08/22/2007, 8:55:39] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[08/22/2007, 8:55:39] - BHO 4: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[08/22/2007, 8:55:39] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/22/2007, 8:55:39] - No filename found. Continuing.
[08/22/2007, 8:55:39] - BHO 5: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[08/22/2007, 8:55:39] - BHO 6: {CC358019-D328-40B4-8E2D-818CE142616C} (MSEvents Object)
[08/22/2007, 8:55:39] - ALERT: Found MSEvents Object!
[08/22/2007, 8:55:39] - Finished Searching Browser Helper Objects
[08/22/2007, 8:55:39] - *** Detected MSEvents Object
[08/22/2007, 8:55:39] - Trying to remove MSEvents Object...
[08/22/2007, 8:55:40] - Terminating Process: IEXPLORE.EXE
[08/22/2007, 8:55:41] - Terminating Process: RUNDLL32.EXE
[08/22/2007, 8:55:41] - Disabling Automatic Shell Restart
[08/22/2007, 8:55:41] - Terminating Process: EXPLORER.EXE
[08/22/2007, 8:55:41] - Suspending the NT Session Manager System Service
[08/22/2007, 8:55:41] - Terminating Windows NT Logon/Logoff Manager
[08/22/2007, 8:55:41] - Re-enabling Automatic Shell Restart
[08/22/2007, 8:55:41] - File to disable: C:\WINDOWS\system32\awtstts.dll
[08/22/2007, 8:55:41] - Renaming C:\WINDOWS\system32\awtstts.dll -> C:\WINDOWS\system32\awtstts.dll.vir
[08/22/2007, 8:55:41] - File successfully renamed!
[08/22/2007, 8:55:41] - Removing HKLM\...\Browser Helper Objects\{CC358019-D328-40B4-8E2D-818CE142616C}
[08/22/2007, 8:55:41] - Removing HKCR\CLSID\{CC358019-D328-40B4-8E2D-818CE142616C}
[08/22/2007, 8:55:42] - Adding Kill Bit for ActiveX for GUID: {CC358019-D328-40B4-8E2D-818CE142616C}
[08/22/2007, 8:55:42] - Deleting ATLEvents/MSEvents Registry entries
[08/22/2007, 8:55:42] - Removing HKLM\...\Winlogon\Notify\awtstts
[08/22/2007, 8:55:42] - Searching for Browser Helper Objects:
[08/22/2007, 8:55:42] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[08/22/2007, 8:55:42] - BHO 2: {1849207E-CF8B-4B8A-B60C-A9C05AF73383} ()
[08/22/2007, 8:55:42] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/22/2007, 8:55:42] - No filename found. Continuing.
[08/22/2007, 8:55:42] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[08/22/2007, 8:55:42] - BHO 4: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[08/22/2007, 8:55:42] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/22/2007, 8:55:42] - No filename found. Continuing.
[08/22/2007, 8:55:42] - BHO 5: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[08/22/2007, 8:55:42] - Finished Searching Browser Helper Objects
[08/22/2007, 8:55:42] - Finishing up...
[08/22/2007, 8:55:42] - A restart is needed.
[08/22/2007, 8:55:50] - Attempting to Restart via STOP error (Blue Screen!)
puis ComboFix en mode sans echec:
ComboFix 07-08-17.2 - "Administrateur" 2007-08-22 9:05:27.3 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1055 [GMT 2:00]
((((((((((((((((((((((((( Files Created from 2007-07-22 to 2007-08-22 )))))))))))))))))))))))))))))))
2007-08-22 09:04 <REP> d-------- C:\DOCUME~1\ADMINI~1\Favoris
2007-08-22 09:04 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau
2007-08-22 09:03 524,288 --ah----- C:\DOCUME~1\ADMINI~1\NTUSER.DAT
2007-08-22 09:03 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer
2007-08-22 09:03 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage r‚seau
2007-08-22 09:03 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression
2007-08-22 09:03 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles
2007-08-22 09:03 <REP> d-------- C:\DOCUME~1\ADMINI~1\Mes documents
2007-08-22 08:48 <REP> d-------- C:\VundoFix Backups
2007-08-21 21:29 <REP> d-------- C:\Program Files\Panda Security
2007-08-21 20:44 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-08-21 14:31 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-21 09:02 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-08-21 08:52 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2007-08-20 17:33 43,542 --a------ C:\WINDOWS\system32\awtstts.dll.vir
2007-08-20 16:34 <REP> d-------- C:\WINDOWS\ShellNew
2007-08-20 16:12 <REP> d-------- C:\Program Files\CDex_150
2007-08-20 11:45 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-08-20 17:40 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-08-20 13:18 --------- d-------- C:\Program Files\WowCartographe
2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr
2007-06-27 16:23 --------- d-------- C:\Program Files\Real Alternative
2007-06-27 16:15 --------- d-------- C:\Program Files\Matroska Pack
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
--------- C:\Program Files\Hijackthis Version Française
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1849207E-CF8B-4B8A-B60C-A9C05AF73383}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 09:12]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 16:10 C:\WINDOWS\system32\bthprops.cpl]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 16:09]
S3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-22 09:06:37
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Completion time: 2007-08-22 9:07:17
--- E O F ---
et voila le dernier rapport Hijack:
Logfile of HijackThis v1.99.1
Scan saved at 09:09:56, on 22/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://televisionsurpc.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1849207E-CF8B-4B8A-B60C-A9C05AF73383} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
il n'y a plus les dll du virus en O20 ni en O2 donc je suppose qu'il a été éradiqué avec succes?
Dites si je me trompe (je verais a mon retour dans 4jours)
Et dois-je Fix avec Hijack les lignes O2 ou il y a (no name) (no file) ?
Merci
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 320
22 août 2007 à 10:30
22 août 2007 à 10:30
Salut
remet un combofix en mode normal
Oui tu peux la fixer
et apres avoir mis le rapport oui tu peux les supprimer
a+
remet un combofix en mode normal
Oui tu peux la fixer
et apres avoir mis le rapport oui tu peux les supprimer
a+
me revoila
voici le log combofix
ComboFix 07-08-17.2 - "Fred" 2007-08-26 10:52:54.4 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.844 [GMT 2:00]
((((((((((((((((((((((((( Files Created from 2007-07-26 to 2007-08-26 )))))))))))))))))))))))))))))))
2007-08-26 10:52 <REP> d-------- C:\WINDOWS\LastGood
2007-08-22 09:04 <REP> d-------- C:\DOCUME~1\ADMINI~1\Favoris
2007-08-22 09:04 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau
2007-08-22 09:03 524,288 --ah----- C:\DOCUME~1\ADMINI~1\NTUSER.DAT
2007-08-22 09:03 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer
2007-08-22 09:03 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage r‚seau
2007-08-22 09:03 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression
2007-08-22 09:03 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles
2007-08-22 09:03 <REP> d-------- C:\DOCUME~1\ADMINI~1\Mes documents
2007-08-22 08:48 <REP> d-------- C:\VundoFix Backups
2007-08-21 21:29 <REP> d-------- C:\Program Files\Panda Security
2007-08-21 14:31 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-21 09:02 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-08-21 08:52 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2007-08-20 16:34 <REP> d-------- C:\WINDOWS\ShellNew
2007-08-20 16:12 <REP> d-------- C:\Program Files\CDex_150
2007-08-20 11:45 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-08-20 17:40 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-08-20 13:18 --------- d-------- C:\Program Files\WowCartographe
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr
2007-07-06 19:06 --------- d-------- C:\DOCUME~1\Fred\APPLIC~1\teamspeak2
2007-06-27 16:23 --------- d-------- C:\Program Files\Real Alternative
2007-06-27 16:23 --------- d-------- C:\DOCUME~1\Fred\APPLIC~1\Real
2007-06-27 16:15 --------- d-------- C:\Program Files\Matroska Pack
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
--------- C:\Program Files\Hijackthis Version Française
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1849207E-CF8B-4B8A-B60C-A9C05AF73383}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 09:12]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 16:10 C:\WINDOWS\system32\bthprops.cpl]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}]
AutoRun\command- SCVVHSOT.exe
Open\command- SCVVHSOT.exe
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-26 10:54:11
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Completion time: 2007-08-26 10:54:53
C:\ComboFix2.txt ... 2007-08-22 09:07
--- E O F ---
merci
voici le log combofix
ComboFix 07-08-17.2 - "Fred" 2007-08-26 10:52:54.4 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.844 [GMT 2:00]
((((((((((((((((((((((((( Files Created from 2007-07-26 to 2007-08-26 )))))))))))))))))))))))))))))))
2007-08-26 10:52 <REP> d-------- C:\WINDOWS\LastGood
2007-08-22 09:04 <REP> d-------- C:\DOCUME~1\ADMINI~1\Favoris
2007-08-22 09:04 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau
2007-08-22 09:03 524,288 --ah----- C:\DOCUME~1\ADMINI~1\NTUSER.DAT
2007-08-22 09:03 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer
2007-08-22 09:03 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage r‚seau
2007-08-22 09:03 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression
2007-08-22 09:03 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles
2007-08-22 09:03 <REP> d-------- C:\DOCUME~1\ADMINI~1\Mes documents
2007-08-22 08:48 <REP> d-------- C:\VundoFix Backups
2007-08-21 21:29 <REP> d-------- C:\Program Files\Panda Security
2007-08-21 14:31 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-21 09:02 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-08-21 08:52 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2007-08-20 16:34 <REP> d-------- C:\WINDOWS\ShellNew
2007-08-20 16:12 <REP> d-------- C:\Program Files\CDex_150
2007-08-20 11:45 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-08-20 17:40 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-08-20 13:18 --------- d-------- C:\Program Files\WowCartographe
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr
2007-07-06 19:06 --------- d-------- C:\DOCUME~1\Fred\APPLIC~1\teamspeak2
2007-06-27 16:23 --------- d-------- C:\Program Files\Real Alternative
2007-06-27 16:23 --------- d-------- C:\DOCUME~1\Fred\APPLIC~1\Real
2007-06-27 16:15 --------- d-------- C:\Program Files\Matroska Pack
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
--------- C:\Program Files\Hijackthis Version Française
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1849207E-CF8B-4B8A-B60C-A9C05AF73383}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 09:12]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 16:10 C:\WINDOWS\system32\bthprops.cpl]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}]
AutoRun\command- SCVVHSOT.exe
Open\command- SCVVHSOT.exe
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-26 10:54:11
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Completion time: 2007-08-26 10:54:53
C:\ComboFix2.txt ... 2007-08-22 09:07
--- E O F ---
merci
sur le log Hijack puis-je fix:
O2 - BHO: (no name) - {1849207E-CF8B-4B8A-B60C-A9C05AF73383} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O2 - BHO: (no name) - {1849207E-CF8B-4B8A-B60C-A9C05AF73383} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 320
26 août 2007 à 11:01
26 août 2007 à 11:01
Salut,
Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau
Double clique sur le OAD pour le lancer
- nom de fichier à rechercher tape ou fais un copier coller de: SCVVHSOT.exe
- Type de recherche : sélectionne l'option 6 puis valide [entree]
OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.
- Fais un copier / coller de ce rapport dans ton prochain post.
Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient.
Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau
Double clique sur le OAD pour le lancer
- nom de fichier à rechercher tape ou fais un copier coller de: SCVVHSOT.exe
- Type de recherche : sélectionne l'option 6 puis valide [entree]
OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.
- Fais un copier / coller de ce rapport dans ton prochain post.
Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient.
26/08/2007 ---- 11:07:36,34
----------------------------------
§§§§§§ [SCVVHSOT.exe] §§§§§§
----------------------------------
[X] Registre
-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete
********************
[Registre]
********************
[HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shell\AutoRun\command]
@="SCVVHSOT.exe"
[HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shell\Open\command]
@="SCVVHSOT.exe"
[HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shellexe cute]
@="SCVVHSOT.exe"
*******************
[Fichier]
*******************
*********************
[Même date]
*********************
Aucun fichier créé à la même date détecté
Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
----------------------------------
§§§§§§ [SCVVHSOT.exe] §§§§§§
----------------------------------
[X] Registre
-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete
********************
[Registre]
********************
[HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shell\AutoRun\command]
@="SCVVHSOT.exe"
[HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shell\Open\command]
@="SCVVHSOT.exe"
[HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shellexe cute]
@="SCVVHSOT.exe"
*******************
[Fichier]
*******************
*********************
[Même date]
*********************
Aucun fichier créé à la même date détecté
Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 320
26 août 2007 à 11:22
26 août 2007 à 11:22
Salut
Crée un point de restauration.
Ouvre le bloc note et copie/colle ceci: (regedit4 sur la 1ere ligne)
Puis enregistrer sous et dans:
Nom du fichier, met bureau.reg
Type : sélectionne "tous les fichiers"
clique sur enregistrer
Double clique sur bureau.reg et accepte la fusion avec le registre.
A+
Crée un point de restauration.
Ouvre le bloc note et copie/colle ceci: (regedit4 sur la 1ere ligne)
[HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shell\AutoRun\command] @=- [HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shell\Open\command] @=- [HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shellexe cute] @=-
Puis enregistrer sous et dans:
Nom du fichier, met bureau.reg
Type : sélectionne "tous les fichiers"
clique sur enregistrer
Double clique sur bureau.reg et accepte la fusion avec le registre.
A+
Mmmmm quand je dois fusionner j'ai une erreur:
Editeur de registre
Impossible d'importer blablabla\bureau.reg : le fichier specifie n'est pas un script de registre.
Vous pouvez uniquement importer des fichiers de Registre binaires a partir de l editeur de registre
je me suis trompé quelque part?
(j'ai pas compris dans ton message le regedit4 ligne 1)
merci pour tes reponses rapides ;)
Editeur de registre
Impossible d'importer blablabla\bureau.reg : le fichier specifie n'est pas un script de registre.
Vous pouvez uniquement importer des fichiers de Registre binaires a partir de l editeur de registre
je me suis trompé quelque part?
(j'ai pas compris dans ton message le regedit4 ligne 1)
merci pour tes reponses rapides ;)
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 320
26 août 2007 à 11:40
26 août 2007 à 11:40
Mince, j ai oublie une chose...
Tu as bien fait un point de restauration?
Ouvre le bloc note et copie/colle ceci: (regedit4 sur la 1ere ligne)
Puis enregistrer sous et dans:
Nom du fichier, met bureau.reg
Type : sélectionne "tous les fichiers"
clique sur enregistrer
Double clique sur bureau.reg et accepte la fusion avec le registre.
A+
Tu as bien fait un point de restauration?
Ouvre le bloc note et copie/colle ceci: (regedit4 sur la 1ere ligne)
REGEDIT4 [HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shell\AutoRun\command] @=- [HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shell\Open\command] @=- [HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shellexe cute] @=-
Puis enregistrer sous et dans:
Nom du fichier, met bureau.reg
Type : sélectionne "tous les fichiers"
clique sur enregistrer
Double clique sur bureau.reg et accepte la fusion avec le registre.
A+
ok c'est bon
(un coup de google pour rafraichir les souvenirs sur la restauration systeme hihi)
donc point de restau fait, et fusion de bureau.reg effectuée avec succes!
que dois-je faire maintenant? ^^
(un coup de google pour rafraichir les souvenirs sur la restauration systeme hihi)
donc point de restau fait, et fusion de bureau.reg effectuée avec succes!
que dois-je faire maintenant? ^^
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 320
26 août 2007 à 12:17
26 août 2007 à 12:17
Salut
Super :-)
Ou en sont tes soucis.?
Super :-)
Ou en sont tes soucis.?
A priori plus aucuns ;)
j'ai redémarer le pc et refait un scan OAD, il ne trouve plus rien.
Je suppose que l'infection a été exterminée!
Je vais faire un dernier nettoyage apres ça et scan bitdefender etc
Me conseille tu de changer d'antivirus? j'ai Avast et en trainant sur les forums securité certains preferent Antivir, plus performant?
Sur mon dernier scan hijack dois-je fixer les lignes:
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
?
merci beaucoup ^^
j'ai redémarer le pc et refait un scan OAD, il ne trouve plus rien.
Je suppose que l'infection a été exterminée!
Je vais faire un dernier nettoyage apres ça et scan bitdefender etc
Me conseille tu de changer d'antivirus? j'ai Avast et en trainant sur les forums securité certains preferent Antivir, plus performant?
Sur mon dernier scan hijack dois-je fixer les lignes:
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
?
merci beaucoup ^^
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 320
26 août 2007 à 12:25
26 août 2007 à 12:25
Re,
Ca correspond au scan online de bitdefender, tu peux le laisser.
Je te conseille de changer d antivirus oui et d'installer Antivir.
D'ailleurs, si tu veux te faire ta propre opinion, une lecture de 10/15min ici:
changer avast pourquoi explications#dernier
A+
Ca correspond au scan online de bitdefender, tu peux le laisser.
Je te conseille de changer d antivirus oui et d'installer Antivir.
D'ailleurs, si tu veux te faire ta propre opinion, une lecture de 10/15min ici:
changer avast pourquoi explications#dernier
A+
21 août 2007 à 10:30
voila le log vundofix:
VundoFix V6.5.7
Checking Java version...
Scan started at 10:24:26 21/08/2007
Listing files found while scanning....
C:\WINDOWS\system32\rqstv.bak1
C:\WINDOWS\system32\rqstv.bak2
C:\WINDOWS\system32\rqstv.ini
C:\WINDOWS\system32\vtsqr.dll
Beginning removal...
Attempting to delete C:\WINDOWS\system32\rqstv.bak1
C:\WINDOWS\system32\rqstv.bak1 Has been deleted!
Attempting to delete C:\WINDOWS\system32\rqstv.bak2
C:\WINDOWS\system32\rqstv.bak2 Has been deleted!
Attempting to delete C:\WINDOWS\system32\rqstv.ini
C:\WINDOWS\system32\rqstv.ini Has been deleted!
Attempting to delete C:\WINDOWS\system32\vtsqr.dll
C:\WINDOWS\system32\vtsqr.dll Has been deleted!
Performing Repairs to the registry.
Done!
et le hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 10:28:51, on 21/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
C:\WINDOWS\system32\wuauclt.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://televisionsurpc.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1849207E-CF8B-4B8A-B60C-A9C05AF73383} - C:\WINDOWS\system32\vtsqr.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {CC358019-D328-40B4-8E2D-818CE142616C} - C:\WINDOWS\system32\awtstts.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: awtstts - C:\WINDOWS\SYSTEM32\awtstts.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
21 août 2007 à 13:18