rapport mauvais ? Résolu/Fermé

Question

Bonjour, 
est ce que quelqu'un peut me dire ce que le rapport de mon scan raconte?

Xg · Answer

Tu pourras nous montre le rapport sinon on peu pas du tout t'aider !

Pancho · Answer

desolé je suis un peu tete en l'air 
test.exe Logfile of HijackThis v1.99.1
Scan saved at 22:33:49, on 05/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\printer.exe
C:\Program Files\Online Add-on\icthis.exe
C:\Program Files\Online Add-on\isfmntr.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Online Add-on\icmntr.exe
C:\Program Files\VIDAL\Communs\VIDAL.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\FICHIE~1\VIRUSG~1\ugcw.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Online Add-on\isfmm.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Ultimate Cleaner\UltimateCleaner.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Zapu\Zapu\wDivi.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\WinZip\WZQKPICK.EXE
C:	est.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Share_Accelerator toolbar - {f5c93451-2609-4723-a053-5c19516be1a8} - C:\Program Files\Share_Accelerator	bSha0.dll
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\printer.exe
O2 - BHO: (no name) - {91AD9DC2-523A-47E2-A598-6C277F16CC50} - c:\windows\system32\aadcaad.dll
O2 - BHO: IEHlprObj Class - {ABCDECF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\System32\vtr.dll (file missing)
O2 - BHO: (no name) - {CFE15135-C591-4000-A55E-A50E5F9F82BC} - C:\Program Files\Online Add-on\isfmdl.dll
O3 - Toolbar: Share_Accelerator toolbar - {f5c93451-2609-4723-a053-5c19516be1a8} - C:\Program Files\Share_Accelerator	bSha0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: IE Custom Tools - {41F6170D-6AF8-4188-8D92-9DDAB3C71A78} - C:\Program Files\Online Add-on\ictmdl.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [EasyTuneV] C:\Program Files\Gigabyte\ET5\GUI.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [M1000Mnt] M1000Rmv.exe /StartStillMnt
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [ocxloader.exe] C:\WINDOWS\System32\ocxloader.exe
O4 - HKLM\..\Run: [vdlDeamon] C:\Program Files\VIDAL\Communs\VIDAL.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\_svchost.exe
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKLM\..\Run: [VirusGarde] C:\Program Files\VirusGarde\pgs.exe
O4 - HKLM\..\Run: [ugcw] "C:\PROGRA~1\FICHIE~1\VIRUSG~1\ugcw.exe" -start
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKLM\..\Run: [rtasks] C:\Program Files\VirusGardetasks.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Ultimate Cleaner] "C:\Program Files\Ultimate Cleaner\UltimateCleaner.exe" hide
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - Startup: system.exe
O4 - Startup: Zapu Acceleration Engine.lnk = C:\Program Files\Zapu\Zapu\wincm.exe
O4 - Startup: Zapu.lnk = C:\Program Files\Zapu\Zapu\wDivi.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02084dfa22d225efae05/netzip/RdxIE601_fr.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\System32\sulimo.dat
O20 - Winlogon Notify: tgttprbz - C:\WINDOWS\SYSTEM32\aadcaad.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Microsoft Internet Explorer - Unknown owner - C:\WINDOWS\System32\_svchost.exe (file missing)

Xg · Answer

Tu sais, il suffit d'aller sur http://www.hijackthis.de/fr !

Pancho · Answer

merci apres avoir evaluer mon rapport dont je ne comprend pas qu'est ce ke je fais ?

Xg · Answer

Ben tt ce qui est signalé pas bon , tu les coche dans le program Hijackthis et tu fai "fix checked"

Va voir ce tuto :

https://www.zebulon.fr/dossiers/securite/56-analyse-rapports-hijackthis.html

Lyonnais92 · Answer

Bonjour,

désolé Xg, mais ça ne suffit pas;

Pancho,

il faut que tu nous dises pourquoi ilo n'y a aucun anti-virus actif sur cet ordi

et pourquoi le SP2 n'est pas installé (ne l'installe pas).

Tu es très infecté et avec des problèmes ennuyeux (interdiction de modifier le regsitre par exemple).

1) relance hijackthis, choisis  do a scan only

coche la case devant 

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

ferme toutes les autres fenêtres et clique sur fix checked;

2)  Télécharge VundoFix.exe (par Atribune) sur ton Bureau. 
http://www.atribune.org/ccount/click.php?id=4 
Double-clique VundoFix.exe afin de le lancer. 

Clique sur le bouton Scan for Vundo. 
Lorsque le scan est complété, clique sur le bouton Remove Vundo. 
Une invite te demandera si tu veux supprimer les fichiers, clique YES 
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK 
Démarre ton PC à nouveau. 
Copie/colle le rapport (c:\vundofix.txt) dans ta réponse

3) Ouvre ce lien  (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php 
et télécharge SmitfraudFix.exe.

Regarde le tuto
Exécute le en choisissant l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.  

4) essaye de réinstaller un anti-virus. 

tant que ce n'est pas<fait, limite au maximum la connection au net.

d'ailleurs, si tu as les moyens d'utiliser un autre ordi pour te connecter et une clé USB pour transférer les programmes et les fichiers, utilise les.

pancho · Answer

bonsoir, desolé du temps de reponse mais je n'arrivai plus a allumer mon pc. je te remets le rapport de hijackthis car vundofix n'a rien trouvé... es ce que je continue a faire la 3eme etape ? merci de me repondre je te remet le rapport merci.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:29:56, on 14/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\printer.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Gigabyte\ET5\GUI.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\VIDAL\Communs\VIDAL.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\Program Files\Zapu\Zapu\wDivi.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Share_Accelerator toolbar - {f5c93451-2609-4723-a053-5c19516be1a8} - C:\Program Files\Share_Accelerator	bSha0.dll
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\printer.exe
O2 - BHO: (no name) - {91AD9DC2-523A-47E2-A598-6C277F16CC50} - c:\windows\system32\aadcaad.dll
O3 - Toolbar: Share_Accelerator toolbar - {f5c93451-2609-4723-a053-5c19516be1a8} - C:\Program Files\Share_Accelerator	bSha0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: IE Custom Tools - {41F6170D-6AF8-4188-8D92-9DDAB3C71A78} - C:\Program Files\Online Add-on\ictmdl.dll (file missing)
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [EasyTuneV] C:\Program Files\Gigabyte\ET5\GUI.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [M1000Mnt] M1000Rmv.exe /StartStillMnt
O4 - HKLM\..\Run: [vdlDeamon] C:\Program Files\VIDAL\Communs\VIDAL.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [VirusGarde] C:\Program Files\VirusGarde\pgs.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: system.exe
O4 - Startup: Zapu Acceleration Engine.lnk = C:\Program Files\Zapu\Zapu\wincm.exe
O4 - Startup: Zapu.lnk = C:\Program Files\Zapu\Zapu\wDivi.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02084dfa22d225efae05/netzip/RdxIE601_fr.cab
O20 - AppInit_DLLs: C:\WINDOWS\System32\sulimo.dat
O20 - Winlogon Notify: tgttprbz - C:\WINDOWS\SYSTEM32\aadcaad.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

Lyonnais92 · Answer

Bonsoir,

fais ça à la place de Vundofix 

Télécharge VirtumundoBegone sur le bureau: 
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe 

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions. 
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis. 

puis continue le reste de la procédure.

Réponds aussi à mes questions.

pancho · Answer

ok je te remercie. il y avait avast comme anti virus quand j'ai recuperé ce PC mais il n'etait plus valide mais je n'avait pas fait attention alors il y'ya eu une periode sans anti virus et pour le SP2 je ne sais pas ce que c'est .

pancho · Answer

bon j'ai fait ce que tu ma di et le rapport de virtu c'est celui la 

[10/14/2007, 21:33:15] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\maison\Bureau\VirtumundoBeGone.exe" )
[10/14/2007, 21:33:23] - Detected System Information:
[10/14/2007, 21:33:23] -  Windows Version: 5.1.2600, Service Pack 1
[10/14/2007, 21:33:23] -  Current Username: maison (Admin)
[10/14/2007, 21:33:23] -  Windows is in NORMAL mode.
[10/14/2007, 21:33:23] - Searching for Browser Helper Objects:
[10/14/2007, 21:33:23] -  BHO 1: {91AD9DC2-523A-47E2-A598-6C277F16CC50} ()
[10/14/2007, 21:33:23] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/14/2007, 21:33:23] -  Checking for HKLM\...\Winlogon\Notify\aadcaad
[10/14/2007, 21:33:23] -  Key not found: HKLM\...\Winlogon\Notify\aadcaad, continuing.
[10/14/2007, 21:33:24] - Finished Searching Browser Helper Objects
[10/14/2007, 21:33:24] - Finishing up...
[10/14/2007, 21:33:24] - Nothing found! Exiting...

ensuite hijackthis donne cela

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:34:30, on 14/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\printer.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Gigabyte\ET5\GUI.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\VIDAL\Communs\VIDAL.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\Program Files\Zapu\Zapu\wDivi.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Share_Accelerator toolbar - {f5c93451-2609-4723-a053-5c19516be1a8} - C:\Program Files\Share_Accelerator	bSha0.dll
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\printer.exe
O2 - BHO: (no name) - {91AD9DC2-523A-47E2-A598-6C277F16CC50} - c:\windows\system32\aadcaad.dll
O3 - Toolbar: Share_Accelerator toolbar - {f5c93451-2609-4723-a053-5c19516be1a8} - C:\Program Files\Share_Accelerator	bSha0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: IE Custom Tools - {41F6170D-6AF8-4188-8D92-9DDAB3C71A78} - C:\Program Files\Online Add-on\ictmdl.dll (file missing)
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [EasyTuneV] C:\Program Files\Gigabyte\ET5\GUI.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [M1000Mnt] M1000Rmv.exe /StartStillMnt
O4 - HKLM\..\Run: [vdlDeamon] C:\Program Files\VIDAL\Communs\VIDAL.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [VirusGarde] C:\Program Files\VirusGarde\pgs.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: system.exe
O4 - Startup: Zapu Acceleration Engine.lnk = C:\Program Files\Zapu\Zapu\wincm.exe
O4 - Startup: Zapu.lnk = C:\Program Files\Zapu\Zapu\wDivi.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02084dfa22d225efae05/netzip/RdxIE601_fr.cab
O20 - AppInit_DLLs: C:\WINDOWS\System32\sulimo.dat
O20 - Winlogon Notify: tgttprbz - C:\WINDOWS\SYSTEM32\aadcaad.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

pancho · Answer

ok j'ai fait la 3eme etape avec le telechargement de smit... et le rapport je te le colle. merci

SmitFraudFix v2.240

Rapport fait à 21:39:52,92, 14/10/2007
Executé à partir de C:\Documents and Settings\maison\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\printer.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Gigabyte\ET5\GUI.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\VIDAL\Communs\VIDAL.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\Program Files\Zapu\Zapu\wDivi.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

192.168.200.3	download.microsoft.com
192.168.200.3	downloads.microsoft.com
192.168.200.3	go.microsoft.com
192.168.200.3	microsoft.com
192.168.200.3	msdn.microsoft.com
192.168.200.3	office.microsoft.com
192.168.200.3	support.microsoft.com
192.168.200.3	windowsupdate.microsoft.com
192.168.200.3	www.microsoft.com
192.168.200.3	pandasoftware.com
192.168.200.3	www.pandasoftware.com

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\printer.exe PRESENT !
C:\WINDOWS\system32\WinAvXX.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\maison


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\maison\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

C:\DOCUME~1\maison\MENUDM~1\PROGRA~1\DMARRA~1\system.exe PRESENT !
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\autorun.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\maison\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 

C:\Program Files\Online Add-on\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\WINDOWS\System32\sulimo.dat"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 0.0.0.0

HKLM\SYSTEM\CCS\Services\Tcpip\..\{AD62D0E4-1941-41A0-8513-E63CB3FCC2B0}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AD62D0E4-1941-41A0-8513-E63CB3FCC2B0}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{AD62D0E4-1941-41A0-8513-E63CB3FCC2B0}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Lyonnais92 · Answer

Re,

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\SYSTEM32\aadcaad.dll 
Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

pancho · Answer

desolé mais je n'arrive pas a ouvrir le lien ça ne marche pas.

Lyonnais92 · Answer

Re,

essaye sur ce lien :

https://virusscan.jotti.org/

pancho · Answer

re, a chaque fois que je clik sur un de tes liens mon anti virus avast me previen qu'un cheval de troie a infecté mon pc. tu pense que c'es en rapport avec la non ouverture des liens.

pancho · Answer

bon je ne tiens plus devan l'ordi et demain le bboulot est tot 6h alors je revien sur le forum soi demain entre 6 et 7h du mat sinon le soir mais c'est pas sur sinon mardi soir. merci.

Lyonnais92 · Answer

Re,

pas de problème.

Par contre, j'ai raté ton post 11

Tu commenceras par ça :

Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter. 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5). 
---------------------------------------------------------------------------- 
Relance le programme Smitfraud, 
Cette fois choisit l’option 2, répond oui a tous ; 
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

Ensuite, Télécharge Hoster

http://www.funkytoad.com/download/HostsXpert.zip

Dézippe le sur le bureau.
Lance Hoster et clique sur "Restore Microsoft's Hosts File".

Reposte ensuite un rapport Hijackthis pour vérification

pancho · Answer

Bonsoir, 
Desolé pour le temps mais je ne suis pas rentré depuis lundi matin. Merci de t'occuper de mon cas. Je vais faire ce que tu ma demandé au dernier post. je te mettrai le rapport.

pancho · Answer

je te mets le rapport pour commencer.

SmitFraudFix v2.240

Rapport fait à 21:31:16,93, 16/10/2007
Executé à partir de C:\Documents and Settings\maison\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


192.168.200.3	ad.doubleclick.net
192.168.200.3	ad.fastclick.net
192.168.200.3	ads.fastclick.net
192.168.200.3	ar.atwola.com
192.168.200.3	atdmt.com
192.168.200.3	avp.ch
192.168.200.3	avp.com
192.168.200.3	avp.ru
192.168.200.3	awaps.net
192.168.200.3	banner.fastclick.net
192.168.200.3	banners.fastclick.net
192.168.200.3	ca.com
192.168.200.3	click.atdmt.com
192.168.200.3	clicks.atdmt.com
192.168.200.3	customer.symantec.com
192.168.200.3	dispatch.mcafee.com
192.168.200.3	download.mcafee.com
192.168.200.3	downloads-us1.kaspersky-labs.com
192.168.200.3	downloads-us2.kaspersky-labs.com
192.168.200.3	downloads-us3.kaspersky-labs.com
192.168.200.3	downloads1.kaspersky-labs.com
192.168.200.3	downloads2.kaspersky-labs.com
192.168.200.3	downloads3.kaspersky-labs.com
192.168.200.3	downloads4.kaspersky-labs.com
192.168.200.3	engine.awaps.net
192.168.200.3	f-secure.com
192.168.200.3	fastclick.net
192.168.200.3	ftp.avp.ch
192.168.200.3	ftp.downloads1.kaspersky-labs.com
192.168.200.3	ftp.downloads2.kaspersky-labs.com
192.168.200.3	ftp.downloads3.kaspersky-labs.com
192.168.200.3	ftp.f-secure.com
192.168.200.3	ftp.kasperskylab.ru
192.168.200.3	ftp.sophos.com
192.168.200.3	ids.kaspersky-labs.com
192.168.200.3	kaspersky-labs.com
192.168.200.3	kaspersky.com
192.168.200.3	liveupdate.symantec.com
192.168.200.3	liveupdate.symantecliveupdate.com
192.168.200.3	mast.mcafee.com
192.168.200.3	mcafee.com
192.168.200.3	media.fastclick.net
192.168.200.3	my-etrust.com
192.168.200.3	nai.com
192.168.200.3	networkassociates.com
192.168.200.3	norton.com
192.168.200.3	phx.corporate-ir.net
192.168.200.3	rads.mcafee.com
192.168.200.3	secure.nai.com
192.168.200.3	securityresponse.symantec.com
192.168.200.3	service1.symantec.com
192.168.200.3	sophos.com
192.168.200.3	spd.atdmt.com
192.168.200.3	symantec.com
192.168.200.3	trendmicro.com
192.168.200.3	update.symantec.com
192.168.200.3	updates.symantec.com
192.168.200.3	updates1.kaspersky-labs.com
192.168.200.3	updates2.kaspersky-labs.com
192.168.200.3	updates3.kaspersky-labs.com
192.168.200.3	updates4.kaspersky-labs.com
192.168.200.3	updates5.kaspersky-labs.com
192.168.200.3	us.mcafee.com
192.168.200.3	vil.nai.com
192.168.200.3	viruslist.com
192.168.200.3	viruslist.ru
192.168.200.3	virusscan.jotti.org
192.168.200.3	virustotal.com
192.168.200.3	www.avp.ch
192.168.200.3	www.avp.com
192.168.200.3	www.avp.ru
192.168.200.3	www.awaps.net
192.168.200.3	www.ca.com
192.168.200.3	www.f-secure.com
192.168.200.3	www.fastclick.net
192.168.200.3	www.grisoft.com
192.168.200.3	www.kaspersky-labs.com
192.168.200.3	www.kaspersky.com
192.168.200.3	www.kaspersky.ru
192.168.200.3	www.mcafee.com
192.168.200.3	www.my-etrust.com
192.168.200.3	www.nai.com
192.168.200.3	www.networkassociates.com
192.168.200.3	www.sophos.com
192.168.200.3	www.symantec.com
192.168.200.3	www.symantec.com 
192.168.200.3	www.trendmicro.com
192.168.200.3	www.viruslist.com
192.168.200.3	www.viruslist.ru
192.168.200.3	www.virustotal.com
192.168.200.3	www3.ca.com

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\printer.exe supprimé
C:\WINDOWS\system32\WinAvXX.exe supprimé
C:\DOCUME~1\maison\MENUDM~1\PROGRA~1\DMARRA~1\system.exe supprimé
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\autorun.exe supprimé
C:\Program Files\Online Add-on\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{AD62D0E4-1941-41A0-8513-E63CB3FCC2B0}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AD62D0E4-1941-41A0-8513-E63CB3FCC2B0}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{AD62D0E4-1941-41A0-8513-E63CB3FCC2B0}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

pancho · Answer

le rapport hijackthis donne cela 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:43:34, on 16/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Gigabyte\ET5\GUI.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\VIDAL\Communs\VIDAL.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Zapu\Zapu\wDivi.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\maison\Local Settings\Temp\wzf4d7\HostsXpert\HostsXpert.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Share_Accelerator toolbar - {f5c93451-2609-4723-a053-5c19516be1a8} - C:\Program Files\Share_Accelerator	bSha0.dll
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\printer.exe
O2 - BHO: (no name) - {91AD9DC2-523A-47E2-A598-6C277F16CC50} - c:\windows\system32\aadcaad.dll
O3 - Toolbar: Share_Accelerator toolbar - {f5c93451-2609-4723-a053-5c19516be1a8} - C:\Program Files\Share_Accelerator	bSha0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: IE Custom Tools - {41F6170D-6AF8-4188-8D92-9DDAB3C71A78} - C:\Program Files\Online Add-on\ictmdl.dll (file missing)
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [EasyTuneV] C:\Program Files\Gigabyte\ET5\GUI.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [M1000Mnt] M1000Rmv.exe /StartStillMnt
O4 - HKLM\..\Run: [vdlDeamon] C:\Program Files\VIDAL\Communs\VIDAL.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [VirusGarde] C:\Program Files\VirusGarde\pgs.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Zapu Acceleration Engine.lnk = C:\Program Files\Zapu\Zapu\wincm.exe
O4 - Startup: Zapu.lnk = C:\Program Files\Zapu\Zapu\wDivi.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02084dfa22d225efae05/netzip/RdxIE601_fr.cab
O20 - AppInit_DLLs: C:\WINDOWS\System32\sulimo.dat
O20 - Winlogon Notify: tgttprbz - C:\WINDOWS\SYSTEM32\aadcaad.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

Lyonnais92 · Answer

Bonsoir,

tu peux relancer smitfraudfix en mode normal, le mettre à jour, scanner (mode 1) et poster le rapport;

Ensuite, tu redémarres en mode sansn échec, relance smitfraudfix option 2, redémarre et remets un rapport SmitfraudFix et un nouveau rapport Hijackthis;
.

pancho · Answer

smit en mode normal..
SmitFraudFix v2.240

Rapport fait à 22:34:57,34, 16/10/2007
Executé à partir de C:\Documents and Settings\maison\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Gigabyte\ET5\GUI.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Zapu\Zapu\wDivi.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\maison


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\maison\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\maison\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\WINDOWS\System32\sulimo.dat"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 0.0.0.0

HKLM\SYSTEM\CCS\Services\Tcpip\..\{AD62D0E4-1941-41A0-8513-E63CB3FCC2B0}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AD62D0E4-1941-41A0-8513-E63CB3FCC2B0}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{AD62D0E4-1941-41A0-8513-E63CB3FCC2B0}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

pancho · Answer

smit en mode sans echec prog 2
SmitFraudFix v2.240

Rapport fait à 21:31:16,93, 16/10/2007
Executé à partir de C:\Documents and Settings\maison\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


192.168.200.3	ad.doubleclick.net
192.168.200.3	ad.fastclick.net
192.168.200.3	ads.fastclick.net
192.168.200.3	ar.atwola.com
192.168.200.3	atdmt.com
192.168.200.3	avp.ch
192.168.200.3	avp.com
192.168.200.3	avp.ru
192.168.200.3	awaps.net
192.168.200.3	banner.fastclick.net
192.168.200.3	banners.fastclick.net
192.168.200.3	ca.com
192.168.200.3	click.atdmt.com
192.168.200.3	clicks.atdmt.com
192.168.200.3	customer.symantec.com
192.168.200.3	dispatch.mcafee.com
192.168.200.3	download.mcafee.com
192.168.200.3	downloads-us1.kaspersky-labs.com
192.168.200.3	downloads-us2.kaspersky-labs.com
192.168.200.3	downloads-us3.kaspersky-labs.com
192.168.200.3	downloads1.kaspersky-labs.com
192.168.200.3	downloads2.kaspersky-labs.com
192.168.200.3	downloads3.kaspersky-labs.com
192.168.200.3	downloads4.kaspersky-labs.com
192.168.200.3	engine.awaps.net
192.168.200.3	f-secure.com
192.168.200.3	fastclick.net
192.168.200.3	ftp.avp.ch
192.168.200.3	ftp.downloads1.kaspersky-labs.com
192.168.200.3	ftp.downloads2.kaspersky-labs.com
192.168.200.3	ftp.downloads3.kaspersky-labs.com
192.168.200.3	ftp.f-secure.com
192.168.200.3	ftp.kasperskylab.ru
192.168.200.3	ftp.sophos.com
192.168.200.3	ids.kaspersky-labs.com
192.168.200.3	kaspersky-labs.com
192.168.200.3	kaspersky.com
192.168.200.3	liveupdate.symantec.com
192.168.200.3	liveupdate.symantecliveupdate.com
192.168.200.3	mast.mcafee.com
192.168.200.3	mcafee.com
192.168.200.3	media.fastclick.net
192.168.200.3	my-etrust.com
192.168.200.3	nai.com
192.168.200.3	networkassociates.com
192.168.200.3	norton.com
192.168.200.3	phx.corporate-ir.net
192.168.200.3	rads.mcafee.com
192.168.200.3	secure.nai.com
192.168.200.3	securityresponse.symantec.com
192.168.200.3	service1.symantec.com
192.168.200.3	sophos.com
192.168.200.3	spd.atdmt.com
192.168.200.3	symantec.com
192.168.200.3	trendmicro.com
192.168.200.3	update.symantec.com
192.168.200.3	updates.symantec.com
192.168.200.3	updates1.kaspersky-labs.com
192.168.200.3	updates2.kaspersky-labs.com
192.168.200.3	updates3.kaspersky-labs.com
192.168.200.3	updates4.kaspersky-labs.com
192.168.200.3	updates5.kaspersky-labs.com
192.168.200.3	us.mcafee.com
192.168.200.3	vil.nai.com
192.168.200.3	viruslist.com
192.168.200.3	viruslist.ru
192.168.200.3	virusscan.jotti.org
192.168.200.3	virustotal.com
192.168.200.3	www.avp.ch
192.168.200.3	www.avp.com
192.168.200.3	www.avp.ru
192.168.200.3	www.awaps.net
192.168.200.3	www.ca.com
192.168.200.3	www.f-secure.com
192.168.200.3	www.fastclick.net
192.168.200.3	www.grisoft.com
192.168.200.3	www.kaspersky-labs.com
192.168.200.3	www.kaspersky.com
192.168.200.3	www.kaspersky.ru
192.168.200.3	www.mcafee.com
192.168.200.3	www.my-etrust.com
192.168.200.3	www.nai.com
192.168.200.3	www.networkassociates.com
192.168.200.3	www.sophos.com
192.168.200.3	www.symantec.com
192.168.200.3	www.symantec.com 
192.168.200.3	www.trendmicro.com
192.168.200.3	www.viruslist.com
192.168.200.3	www.viruslist.ru
192.168.200.3	www.virustotal.com
192.168.200.3	www3.ca.com

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\printer.exe supprimé
C:\WINDOWS\system32\WinAvXX.exe supprimé
C:\DOCUME~1\maison\MENUDM~1\PROGRA~1\DMARRA~1\system.exe supprimé
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\autorun.exe supprimé
C:\Program Files\Online Add-on\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{AD62D0E4-1941-41A0-8513-E63CB3FCC2B0}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AD62D0E4-1941-41A0-8513-E63CB3FCC2B0}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{AD62D0E4-1941-41A0-8513-E63CB3FCC2B0}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

la c smit en mode normal prog 1
SmitFraudFix v2.240

Rapport fait à 22:46:11,14, 16/10/2007
Executé à partir de C:\Documents and Settings\maison\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Gigabyte\ET5\GUI.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Zapu\Zapu\wDivi.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\maison


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\maison\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\maison\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\WINDOWS\System32\sulimo.dat"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 0.0.0.0

HKLM\SYSTEM\CCS\Services\Tcpip\..\{AD62D0E4-1941-41A0-8513-E63CB3FCC2B0}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AD62D0E4-1941-41A0-8513-E63CB3FCC2B0}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{AD62D0E4-1941-41A0-8513-E63CB3FCC2B0}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

et enfin hijackthis 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:49:58, on 16/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Gigabyte\ET5\GUI.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Zapu\Zapu\wDivi.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Share_Accelerator toolbar - {f5c93451-2609-4723-a053-5c19516be1a8} - C:\Program Files\Share_Accelerator	bSha0.dll
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\printer.exe
O2 - BHO: (no name) - {91AD9DC2-523A-47E2-A598-6C277F16CC50} - c:\windows\system32\aadcaad.dll
O3 - Toolbar: Share_Accelerator toolbar - {f5c93451-2609-4723-a053-5c19516be1a8} - C:\Program Files\Share_Accelerator	bSha0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: IE Custom Tools - {41F6170D-6AF8-4188-8D92-9DDAB3C71A78} - C:\Program Files\Online Add-on\ictmdl.dll (file missing)
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [EasyTuneV] C:\Program Files\Gigabyte\ET5\GUI.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [M1000Mnt] M1000Rmv.exe /StartStillMnt
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [VirusGarde] C:\Program Files\VirusGarde\pgs.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Zapu Acceleration Engine.lnk = C:\Program Files\Zapu\Zapu\wincm.exe
O4 - Startup: Zapu.lnk = C:\Program Files\Zapu\Zapu\wDivi.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02084dfa22d225efae05/netzip/RdxIE601_fr.cab
O20 - AppInit_DLLs: C:\WINDOWS\System32\sulimo.dat
O20 - Winlogon Notify: tgttprbz - C:\WINDOWS\SYSTEM32\aadcaad.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

Lyonnais92 · Answer

Re,

on va hausser le ton.

télécharge combofix (par sUBs)ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


et enregistre le sur le bureau et pas ailleurs.

2 double-clique sur combofix.exe et suis les instructions

3 à la fin, il va produire un rapport C:\ComboFix.txt

4 copie/colle ce rapport dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

pancho · Answer

voila le rapport combo

ComboFix 07-10-16.1 - maison 2007-10-16 22:56:45.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.127 [GMT 2:00]
Running from: C:\Documents and Settings\maison\Bureau\ComboFix.exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\maison\Application Data.\Ultimate Cleaner
C:\Documents and Settings\maison\Application Data.\Ultimate Cleaner\settings.dat
C:\Documents and Settings\maison\Application Data\Ultimate Cleaner\settings.dat
C:\Documents and Settings\maison\Application Data\Ultimate Cleaner\settings.dat
C:\Documents and Settings\maison\ResErrors.log
C:\WINDOWS\Casino.ico
C:\WINDOWS\Free Online Dating.ico
C:\WINDOWS\mraerea.exe
C:\WINDOWS\Spyware Remover.ico
C:\WINDOWS\system32\7_exception.nls
C:\WINDOWS\system32\drivers\KPWW81.sys
C:\WINDOWS\system32\drivers\miqvzwcl.sys
C:\WINDOWS\system32\drivers\pzgfqhae.sys
C:\WINDOWS\system32\iepref32.dll
C:\WINDOWS\system32\qmopt.dll
C:\WINDOWS\system32\RunOnce3.t__
C:\WINDOWS\system32\RunOnce3.tmp
C:\WINDOWS\system32\aadcaad.dll . . . . Echec de suppression

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_EBPQWMWP
-------\LEGACY_KPWW81
-------\LEGACY_LANMANDRV
-------\LEGACY_MICROSOFT_INTERNET_EXPLORER
-------\LEGACY_NDNET1
-------\LEGACY_RUNTIME
-------\LEGACY_RUNTIME2
-------\ebpqwmwp
-------\Microsoft Internet Explorer
-------\RpcApi

((((((((((((((((((((((((((((( Fichiers créés 2007-09-16 to 2007-10-16 ))))))))))))))))))))))))))))))))))))
.

2007-10-16 22:56 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-16 22:45 81,408 --a------ C:\WINDOWS\system32\aadcaad.dll
2007-10-14 21:39 2,346 --a------ C:\WINDOWS\system32\tmp.reg
2007-10-14 21:38 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-10-14 21:38 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-10-14 21:38 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-10-14 21:38 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-10-14 21:38 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-10-14 20:21 <REP> d-------- C:\VundoFix Backups
2007-10-14 20:16 <REP> d-------- C:\Program Files\Trend Micro
2007-10-14 19:28 <REP> d-------- C:\Documents and Settings\maison\Application Data\Grisoft
2007-10-14 19:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-10-14 19:28 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-10-14 08:41 41,728 --a------ C:\WINDOWS\system32\apmrwkrf.dat
2007-10-14 08:41 17,792 C:\WINDOWS\system32\drivers\miqvzwcl.dat
2007-10-12 19:19 801,144 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-10-12 19:19 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-10-12 19:19 94,416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-10-12 19:19 92,848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-10-12 19:19 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-10-12 19:19 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-10-12 19:19 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-10-08 23:24 <REP> d-------- C:\Documents and Settings\maison\Contacts
2007-10-06 01:22 <REP> d-------- C:\Program Files\Fichiers communs\G DATA
2007-10-06 01:06 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2007-10-05 21:40 <REP> d-------- C:\Documents and Settings\maison\Application Data\cv=2.4&pn=&pv=&pt=&sn=&sna=&sns=&sne=&snr=&snb=&us=sxmea
2007-10-05 21:35 <REP> dr------- C:\Documents and Settings\All Users\Application Data\cv=2.4&pn=&pv=&pt=&sn=&sna=&sns=&sne=&snr=&snb=&us=sxmea
2007-10-05 20:16 <REP> d--hs---- C:\UGA6PV
2007-10-05 20:15 <REP> d-------- C:\Documents and Settings\maison\Application Data\VirusGarde
2007-10-05 20:01 22,697 --------- C:\WINDOWS\pdoakac.exe
2007-10-04 23:34 <REP> d-------- C:\Program Files\Fichiers communs\VirusGarde
2007-10-04 23:34 46,592 --a------ C:\WINDOWS\system32\drivers\FMTR.sys.ren
2007-10-04 22:31 <REP> d-------- C:\Documents and Settings\maison\Application Data\AVG7
2007-10-04 22:30 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\AVG7
2007-10-04 22:30 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\AVG7
2007-10-04 22:30 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\AVG7
2007-10-04 22:30 <REP> d-------- C:\Documents and Settings\All Users\Application Data\avg7
2007-10-04 19:06 7,680 --a------ C:\WINDOWS\system32\printer.exe.ren
2007-09-30 20:54 741,632 --a------ C:\WINDOWS\system32\zgnlkjga.dat
2007-09-30 20:54 118,528 --a------ C:\WINDOWS\system32\mgeuyetp.dat
2007-09-30 20:54 35,584 --a------ C:\WINDOWS\system32\gcorzrxy.dat
2007-09-30 20:54 34,560 --a------ C:\WINDOWS\system32\snnzbzqu.dat

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-16 21:01 --------- d-----w C:\Program Files\Wanadoo
2007-10-12 16:50 --------- d-----w C:\Documents and Settings\maison\Application Data\Lavasoft
2007-10-05 23:24 52,602 ----a-w C:\WINDOWS\system32\interceptor.sys
2007-10-05 23:22 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-10-05 20:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\WinZip
2007-09-29 18:50 124,416 ----a-w C:\WINDOWS\system32\dniyzblg.dll
2007-09-29 14:19 --------- d-----w C:\Program Files\Everest Poker
2007-09-02 10:26 --------- d-----w C:\Program Files\Fichiers communs\xing shared
2007-09-02 10:25 --------- d-----w C:\Program Files\Real
2007-09-02 10:25 --------- d-----w C:\Program Files\Fichiers communs\Real
2007-08-27 04:33 --------- d-----w C:\Documents and Settings\maison\Application Data\MSN6
2007-08-22 20:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-07-22 14:59 5,160 ----a-w C:\WINDOWS\system32\ielog.dll
2007-07-16 14:26 147,729 ----a-w C:\WINDOWS\system32\libssl32.dll
2007-06-25 11:49 2,526 ----a-w C:\Documents and Settings\maison\Application Data\wklnhst.dat
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{91AD9DC2-523A-47E2-A598-6C277F16CC50}]
2007-10-16 22:55 81408 --a------ c:\windows\system32\aadcaad.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"@"="" []
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 17:07 C:\WINDOWS\system32\HdAShCut.exe]
"RTHDCPL"="RTHDCPL.EXE" [2005-07-13 04:37 C:\WINDOWS\RTHDCPL.EXE]
"EasyTuneV"="C:\Program Files\Gigabyte\ET5\GUI.exe" [2004-06-14 11:54]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 14:49]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55]
"M1000Mnt"="M1000Rmv.exe" []
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-09-02 12:25]
"VirusGarde"="C:\Program Files\VirusGarde\pgs.exe" []
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]
"!AVG Anti-Spyware"="C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 11:45]
"WOOKIT"="C:\PROGRA~1\Wanadoo\Shell.exe" [2004-08-23 14:50]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-11 16:33]
"Shareaza"="C:\Program Files\Shareaza\Shareaza.exe" [2007-02-05 04:05]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"<NO NAME>"=

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoControlPanel"=1 (0x1)
"NoWindowsUpdate"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\WINDOWS\System32\sulimo.dat

R0 ndisrd;ndisrd;C:\WINDOWS\System32\drivers\ndisrd.sys
R0 nvrfhgrt;Microsoft RPC API Helper;C:\WINDOWS\System32\drivers\miqvzwcl.dat
S3 gdrv;gdrv;\??\C:\WINDOWS\gdrv.sys
S3 M1000Srv;M5603C USB2.0 Camera Driver;C:\WINDOWS\System32\Drivers\M1000KNT.sys

.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-16 23:00:32
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-10-16 23:02:09 - machine was rebooted
.
--- E O F ---

Lyonnais92 · Answer

Re,

remets un log Hijackthis.

pancho · Answer

re, je pense qu'il ya du changement non ?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:28:07, on 16/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Zapu\Zapu\wDivi.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32
otepad.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Share_Accelerator toolbar - {f5c93451-2609-4723-a053-5c19516be1a8} - C:\Program Files\Share_Accelerator	bSha0.dll
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {91AD9DC2-523A-47E2-A598-6C277F16CC50} - c:\windows\system32\aadcaad.dll
O3 - Toolbar: Share_Accelerator toolbar - {f5c93451-2609-4723-a053-5c19516be1a8} - C:\Program Files\Share_Accelerator	bSha0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {41F6170D-6AF8-4188-8D92-9DDAB3C71A78} - (no file)
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [EasyTuneV] C:\Program Files\Gigabyte\ET5\GUI.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [M1000Mnt] M1000Rmv.exe /StartStillMnt
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [VirusGarde] C:\Program Files\VirusGarde\pgs.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Zapu Acceleration Engine.lnk = C:\Program Files\Zapu\Zapu\wincm.exe
O4 - Startup: Zapu.lnk = C:\Program Files\Zapu\Zapu\wDivi.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02084dfa22d225efae05/netzip/RdxIE601_fr.cab
O20 - AppInit_DLLs: C:\WINDOWS\System32\sulimo.dat
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

pancho · Answer

bon desolé mais vé me coucher je suis hasta la muerté...lol je te remerci bcp pour tout.je reviens le plus tot possible.

Lyonnais92 · Answer

Bonjour,

bien dormi ?

Il y a eu du changement. Ceci dit, je ne suis pas sur que on soit arrivé.

As tu volontairement installé zapu et y tiens tu ?

Même première question pour VirusGarde (mais c'est un rogue, un faux antispyware)

Fais ça :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : c:\windows\system32\aadcaad.dll 

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 


Tu sembles ne pas avoir de parefeu contrôlant les connexions sortantes, ce qui est un risque de sécurité.

Si c'est le cas tu as le choix entre ces deux possibilités :

Zone Alarm Tuto et lien de téléchargement ici :
https://www.malekal.com/tutoriel-zonealarm-firewall/

Kerio Tuto et lien de téléchargement ici :
http://www.malekal.com/kerio_firewall.php

Il y en a d'autres que tu peux trouver en ouvrant ce lien :
http://www.malekal.com/menu_tutorials_logiciels.php 

Il faut que tu désactives le parefeu de Windows (panneau de configuration, parefeu de Windows) après le téléchargement et avant l'installation (déconnecte toi du Net à ce moment là).

Remets aussi un rapport Smitfraudfix en mode normal, choix 1.

pancho · Answer

bonjour,
ok je te posterai ce soir le rapport mais jai une question avant comment tu desactive le pare feu de windows? 
a ce soir merci.

Lyonnais92 · Answer

Bonjour,

choisis ZA, il va désactiver le parefeu Windows lui même.

Désactiver le aprefeu Windows est simple avec le SP2 (via le panneau de configuration). mais pas question d',nstaller le SP2 avant la fin de la désinfection.

pancho · Answer

bonsoir, voici le rapport de smit...
SmitFraudFix v2.240

Rapport fait à 19:24:44,68, 17/10/2007
Executé à partir de C:\Documents and Settings\maison\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Gigabyte\ET5\GUI.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\ZoneLabs\UpdClient.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\maison


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\maison\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\maison\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\WINDOWS\System32\sulimo.dat"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 0.0.0.0

HKLM\SYSTEM\CCS\Services\Tcpip\..\{AD62D0E4-1941-41A0-8513-E63CB3FCC2B0}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AD62D0E4-1941-41A0-8513-E63CB3FCC2B0}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{AD62D0E4-1941-41A0-8513-E63CB3FCC2B0}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Lyonnais92 · Answer

re,

OK, mode sans échec, Smitfraudfix choix 2; retour en mode normal,

tu postes le rapport de smitfraudFix, tu postes un nouveau rapport hijackthis.

Tu réessayes d'envoyer le fichier à Viruystotal ou jotti ( posts 12 ou 14). Tu ignores les protestations de ton antivirus.

pancho · Answer

rapport mode sans echec 
SmitFraudFix v2.240

Rapport fait à 21:31:16,93, 16/10/2007
Executé à partir de C:\Documents and Settings\maison\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


192.168.200.3	ad.doubleclick.net
192.168.200.3	ad.fastclick.net
192.168.200.3	ads.fastclick.net
192.168.200.3	ar.atwola.com
192.168.200.3	atdmt.com
192.168.200.3	avp.ch
192.168.200.3	avp.com
192.168.200.3	avp.ru
192.168.200.3	awaps.net
192.168.200.3	banner.fastclick.net
192.168.200.3	banners.fastclick.net
192.168.200.3	ca.com
192.168.200.3	click.atdmt.com
192.168.200.3	clicks.atdmt.com
192.168.200.3	customer.symantec.com
192.168.200.3	dispatch.mcafee.com
192.168.200.3	download.mcafee.com
192.168.200.3	downloads-us1.kaspersky-labs.com
192.168.200.3	downloads-us2.kaspersky-labs.com
192.168.200.3	downloads-us3.kaspersky-labs.com
192.168.200.3	downloads1.kaspersky-labs.com
192.168.200.3	downloads2.kaspersky-labs.com
192.168.200.3	downloads3.kaspersky-labs.com
192.168.200.3	downloads4.kaspersky-labs.com
192.168.200.3	engine.awaps.net
192.168.200.3	f-secure.com
192.168.200.3	fastclick.net
192.168.200.3	ftp.avp.ch
192.168.200.3	ftp.downloads1.kaspersky-labs.com
192.168.200.3	ftp.downloads2.kaspersky-labs.com
192.168.200.3	ftp.downloads3.kaspersky-labs.com
192.168.200.3	ftp.f-secure.com
192.168.200.3	ftp.kasperskylab.ru
192.168.200.3	ftp.sophos.com
192.168.200.3	ids.kaspersky-labs.com
192.168.200.3	kaspersky-labs.com
192.168.200.3	kaspersky.com
192.168.200.3	liveupdate.symantec.com
192.168.200.3	liveupdate.symantecliveupdate.com
192.168.200.3	mast.mcafee.com
192.168.200.3	mcafee.com
192.168.200.3	media.fastclick.net
192.168.200.3	my-etrust.com
192.168.200.3	nai.com
192.168.200.3	networkassociates.com
192.168.200.3	norton.com
192.168.200.3	phx.corporate-ir.net
192.168.200.3	rads.mcafee.com
192.168.200.3	secure.nai.com
192.168.200.3	securityresponse.symantec.com
192.168.200.3	service1.symantec.com
192.168.200.3	sophos.com
192.168.200.3	spd.atdmt.com
192.168.200.3	symantec.com
192.168.200.3	trendmicro.com
192.168.200.3	update.symantec.com
192.168.200.3	updates.symantec.com
192.168.200.3	updates1.kaspersky-labs.com
192.168.200.3	updates2.kaspersky-labs.com
192.168.200.3	updates3.kaspersky-labs.com
192.168.200.3	updates4.kaspersky-labs.com
192.168.200.3	updates5.kaspersky-labs.com
192.168.200.3	us.mcafee.com
192.168.200.3	vil.nai.com
192.168.200.3	viruslist.com
192.168.200.3	viruslist.ru
192.168.200.3	virusscan.jotti.org
192.168.200.3	virustotal.com
192.168.200.3	www.avp.ch
192.168.200.3	www.avp.com
192.168.200.3	www.avp.ru
192.168.200.3	www.awaps.net
192.168.200.3	www.ca.com
192.168.200.3	www.f-secure.com
192.168.200.3	www.fastclick.net
192.168.200.3	www.grisoft.com
192.168.200.3	www.kaspersky-labs.com
192.168.200.3	www.kaspersky.com
192.168.200.3	www.kaspersky.ru
192.168.200.3	www.mcafee.com
192.168.200.3	www.my-etrust.com
192.168.200.3	www.nai.com
192.168.200.3	www.networkassociates.com
192.168.200.3	www.sophos.com
192.168.200.3	www.symantec.com
192.168.200.3	www.symantec.com 
192.168.200.3	www.trendmicro.com
192.168.200.3	www.viruslist.com
192.168.200.3	www.viruslist.ru
192.168.200.3	www.virustotal.com
192.168.200.3	www3.ca.com

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\printer.exe supprimé
C:\WINDOWS\system32\WinAvXX.exe supprimé
C:\DOCUME~1\maison\MENUDM~1\PROGRA~1\DMARRA~1\system.exe supprimé
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\autorun.exe supprimé
C:\Program Files\Online Add-on\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{AD62D0E4-1941-41A0-8513-E63CB3FCC2B0}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AD62D0E4-1941-41A0-8513-E63CB3FCC2B0}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{AD62D0E4-1941-41A0-8513-E63CB3FCC2B0}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

rapport smit apres avoir redemmarer.



SmitFraudFix v2.240

Rapport fait à 19:59:06,26, 17/10/2007
Executé à partir de C:\Documents and Settings\maison\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\maison


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\maison\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\maison\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 0.0.0.0

HKLM\SYSTEM\CCS\Services\Tcpip\..\{AD62D0E4-1941-41A0-8513-E63CB3FCC2B0}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AD62D0E4-1941-41A0-8513-E63CB3FCC2B0}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{AD62D0E4-1941-41A0-8513-E63CB3FCC2B0}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

pancho · Answer

resultat a jotti 
Service  
Service load:  0%        100%  
 
File:  aadcaad.dll  
Status:  POSSIBLY INFECTED/MALWARE (Note: this file was only classified as malware by scanners known to generate more false positives than the average scanner. Do not consider these results definately accurate. Also, because of this, results of this scan will not be recorded in the database.)  
MD5:  f60656a17adb3d4447479b2adfc882c6  
Packers detected:  - 
Bit9 reports:  File not found  
 
Scanner results  
Scan taken on 17 Oct 2007 18:24:01 (GMT)  
A-Squared  Found nothing 
AntiVir  Found TR/Trash.Gen  
ArcaVir  Found nothing 
Avast  Found nothing 
AVG Antivirus  Found nothing 
BitDefender  Found nothing 
ClamAV  Found nothing 
CPsecure  Found nothing 
Dr.Web  Found nothing 
F-Prot Antivirus  Found nothing 
F-Secure Anti-Virus  Found nothing 
Fortinet  Found nothing 
Kaspersky Anti-Virus  Found nothing 
NOD32  Found nothing 
Norman Virus Control  Found nothing 
Panda Antivirus  Found nothing 
Rising Antivirus  Found nothing 
Sophos Antivirus  Found nothing 
VirusBuster  Found nothing 
VBA32  Found nothing

pancho · Answer

rapport de virus totale 

Fichier aadcaad.dll reçu le 2007.10.17 20:25:05 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 2/32 (6.25%)
en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 39 et 56 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté Impression des résultats  
Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. 
 Email:  
  

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2007.10.18.0 2007.10.17 - 
AntiVir 7.6.0.23 2007.10.17 TR/Trash.Gen 
Authentium 4.93.8 2007.10.17 - 
Avast 4.7.1051.0 2007.10.17 - 
AVG 7.5.0.488 2007.10.17 - 
BitDefender 7.2 2007.10.17 - 
CAT-QuickHeal 9.00 2007.10.17 - 
ClamAV 0.91.2 2007.10.17 - 
DrWeb 4.44.0.09170 2007.10.17 - 
eSafe 7.0.15.0 2007.10.15 - 
eTrust-Vet 31.2.5216 2007.10.17 - 
Ewido 4.0 2007.10.17 - 
FileAdvisor 1 2007.10.17 - 
Fortinet 3.11.0.0 2007.10.17 - 
F-Prot 4.3.2.48 2007.10.17 - 
F-Secure 6.70.13030.0 2007.10.17 - 
Ikarus T3.1.1.12 2007.10.17 - 
Kaspersky 7.0.0.125 2007.10.17 - 
McAfee 5143 2007.10.17 - 
Microsoft 1.2908 2007.10.17 - 
NOD32v2 2599 2007.10.17 - 
Norman 5.80.02 2007.10.17 - 
Panda 9.0.0.4 2007.10.17 - 
Prevx1 V2 2007.10.17 - 
Rising 19.45.22.00 2007.10.17 - 
Sophos 4.22.0 2007.10.17 - 
Sunbelt 2.2.907.0 2007.10.17 - 
Symantec 10 2007.10.17 - 
TheHacker 6.2.8.096 2007.10.17 - 
VBA32 3.12.2.4 2007.10.17 - 
VirusBuster 4.3.26:9 2007.10.17 - 
Webwasher-Gateway 6.0.1 2007.10.17 Trojan.Trash.Gen 
Information additionnelle 
File size: 81408 bytes 
MD5: f60656a17adb3d4447479b2adfc882c6 
SHA1: f7e46cb24c90d082827c703a7f4a7415d313c2b9

Lyonnais92 · Answer

Re,

1) tu ouvres ce lien :

http://secubox.gateweb.org/mad.php

tu cliques sur parcourir et tu cherches c:\windows\system32\aadcaad.dll 

dans les commentaires tu mets ;

bonjour,

à la demande de lyonnais92,

mal décelé par les antivirus : le rapport de VirusTotal

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2007.10.18.0 2007.10.17 - 
AntiVir 7.6.0.23 2007.10.17 TR/Trash.Gen 
Authentium 4.93.8 2007.10.17 - 
Avast 4.7.1051.0 2007.10.17 - 
AVG 7.5.0.488 2007.10.17 - 
BitDefender 7.2 2007.10.17 - 
CAT-QuickHeal 9.00 2007.10.17 - 
ClamAV 0.91.2 2007.10.17 - 
DrWeb 4.44.0.09170 2007.10.17 - 
eSafe 7.0.15.0 2007.10.15 - 
eTrust-Vet 31.2.5216 2007.10.17 - 
Ewido 4.0 2007.10.17 - 
FileAdvisor 1 2007.10.17 - 
Fortinet 3.11.0.0 2007.10.17 - 
F-Prot 4.3.2.48 2007.10.17 - 
F-Secure 6.70.13030.0 2007.10.17 - 
Ikarus T3.1.1.12 2007.10.17 - 
Kaspersky 7.0.0.125 2007.10.17 - 
McAfee 5143 2007.10.17 - 
Microsoft 1.2908 2007.10.17 - 
NOD32v2 2599 2007.10.17 - 
Norman 5.80.02 2007.10.17 - 
Panda 9.0.0.4 2007.10.17 - 
Prevx1 V2 2007.10.17 - 
Rising 19.45.22.00 2007.10.17 - 
Sophos 4.22.0 2007.10.17 - 
Sunbelt 2.2.907.0 2007.10.17 - 
Symantec 10 2007.10.17 - 
TheHacker 6.2.8.096 2007.10.17 - 
VBA32 3.12.2.4 2007.10.17 - 
VirusBuster 4.3.26:9 2007.10.17 - 
Webwasher-Gateway 6.0.1 2007.10.17 Trojan.Trash.Gen 
Information additionnelle 
File size: 81408 bytes 
MD5: f60656a17adb3d4447479b2adfc882c6 
SHA1: f7e46cb24c90d082827c703a7f4a7415d313c2b9

===========================================================
2) ne redémarre pas l'ordi.

Mets un rapport Hijackthis

pancho · Answer

g validé l'envoi du fichier mais apres il ma demandé un pseudo et mot de passe ?

Lyonnais92 · Answer

Re,

pas de souci, il est arrivé.

pancho · Answer

bonsoir, desolé hier me sui endormi devant le maych.
Alors le rapport que tu a reçu a donné quoi ?

Lyonnais92 · Answer

Bonsoir,

pas sur qu'on ait des nouvelles, sauf en resoumettant le fichier et en voyant s'il rest reconnu par de nouveaux antivirus.

remets un log hijackthis.

Quels sont les problèmes de l'ordi ?

pancho · Answer

re, ben je n'ai plus de probleme apperement. 
rapport 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:24:16, on 18/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Share_Accelerator toolbar - {f5c93451-2609-4723-a053-5c19516be1a8} - C:\Program Files\Share_Accelerator	bSha0.dll
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {91AD9DC2-523A-47E2-A598-6C277F16CC50} - c:\windows\system32\aadcaad.dll
O3 - Toolbar: Share_Accelerator toolbar - {f5c93451-2609-4723-a053-5c19516be1a8} - C:\Program Files\Share_Accelerator	bSha0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [EasyTuneV] C:\Program Files\Gigabyte\ET5\GUI.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [M1000Mnt] M1000Rmv.exe /StartStillMnt
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [VirusGarde] C:\Program Files\VirusGarde\pgs.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02084dfa22d225efae05/netzip/RdxIE601_fr.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Documents and Settings\maison\Bureau\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Lyonnais92 · Answer

bonsoir,

1) Clique sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
pour télécharger navilog1.exe.

Choisis Enregistrer

et enregistre-le sur ton bureau.

Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

2) Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau

Double clique sur le OAD pour le lancer

- nom de fichier à rechercher tape ou fais un copier coller de : aadcaad
- Type de recherche : sélectionne l'option 6 puis valide [entree]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient(e)

pancho · Answer

rapport orange Search Navipromo version 3.3.0 commencé le 19/10/2007 à 20:13:34,15

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 17.10.2007 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106 


*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\maison\Application Data ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32
- C:\DOCUME~1\MAISON\LOCALS~1\APPLIC~1



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans C:\DOCUME~1\MAISON\LOCALS~1\APPLIC~1 *



*** Recherche fichiers *** 




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :



3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse terminée le 19/10/2007 à 20:13:55,18 ***

et voici le rapport de sos 


 19/10/2007 ---- 20:16:54,84  

----------------------------------
§§§§§§ [aadcaad ] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

Lyonnais92 · Answer

Bonsoir,

Relance HijackThis.

Choisis Do a scan only

Coche la case devant les lignes suivantes 

O2 - BHO: (no name) - {91AD9DC2-523A-47E2-A598-6C277F16CC50} - c:\windows\system32\aadcaad.dll 


Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.


télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en gras ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

c:\windows\system32\aadcaad.dll

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes. 

Sinon, redémarre le et remets un log Hijackthis

pancho · Answer

LoadLibrary failed for c:\windows\system32\aadcaad.dll
c:\windows\system32\aadcaad.dll NOT unregistered.
File move failed. c:\windows\system32\aadcaad.dll scheduled to be moved on reboot.
 
Created on 10/19/2007 21:30:41


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:34:20, on 19/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Gigabyte\ET5\GUI.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Share_Accelerator toolbar - {f5c93451-2609-4723-a053-5c19516be1a8} - C:\Program Files\Share_Accelerator	bSha0.dll
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {91AD9DC2-523A-47E2-A598-6C277F16CC50} - c:\windows\system32\aadcaad.dll
O3 - Toolbar: Share_Accelerator toolbar - {f5c93451-2609-4723-a053-5c19516be1a8} - C:\Program Files\Share_Accelerator	bSha0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [EasyTuneV] C:\Program Files\Gigabyte\ET5\GUI.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [M1000Mnt] M1000Rmv.exe /StartStillMnt
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [VirusGarde] C:\Program Files\VirusGarde\pgs.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02084dfa22d225efae05/netzip/RdxIE601_fr.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Lyonnais92 · Answer

Re,

Relance HijackThis. 

Choisis Do a scan only 

Coche la case devant les lignes suivantes 

O2 - BHO: (no name) - {91AD9DC2-523A-47E2-A598-6C277F16CC50} - c:\windows\system32\aadcaad.dll 


Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur. 

Clique sur fix checked. 

Ferme Hijackthis. 


1. Télécharge The Avenger par Swandog46 sur le Bureau 
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ 


Clique sur Avenger.zip pour ouvrir le fichier 
Extraire avenger.exe sur le bureau 

2. Copier tout le texte de la boîte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C): 

Files to delete: 
c:\windows\system32\aadcaad.dll 

IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur. 
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.[/i] 

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau. 


Sous "scrïpt file to execute" choisir "Input scrïpt Manually". 
Puis clique sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit scrïpt" 
Dans cette fenêtre, colle le texte précedemment copié sur le bureau par les touches (Ctrl+V). 
Clique Done 
ensuite clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du scrïpt 
Répondre "Yes" deux fois quand demandé. 

4. The Avenger va automatiquement faire ce qui suit: 


Il va Re-démarrer le système.  
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL. 
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger.  Ce fichier log se trouve ici : C:\avenger.txt 
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip. 

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

Lyonnais92 · Answer

Bonjour,

je garde une référence.

https://www.bleepingcomputer.com/forums/t/110892/googlebrowser-redirect-problem-help/

MAD a répondu, mais je ne comprends pas complètement la réponse.

pancho · Answer

bonjour, j'ai fait tout ce que tu ma dis mais je ne crois pas ke le n°2 BHO avec hijackthis n'as pas eté fixé, supprimer.

Voila le rapport de avanger 

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\kgythafj

*******************

Script file located at: \??\C:\bboxloqs.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file c:\windows\system32\aadcaad.dll for deletion
Deletion of file c:\windows\system32\aadcaad.dll failed!

Could not process line:
c:\windows\system32\aadcaad.dll
Status: 0xc0000022



File IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur. not found!
Deletion of file IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur. failed!

Could not process line:
IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
Status: 0xc0000034



File si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.[/i] not found!
Deletion of file si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.[/i] failed!

Could not process line:
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.[/i]
Status: 0xc0000034


Completed script processing.

*******************

Finished!  Terminate.

Lyonnais92 · Answer

Re,

Double clique sur le OAD pour le lancer 

- nom de fichier à rechercher tape ou fais un copier coller de : aadcaad 
- Type de recherche : sélectionne l'option 6 puis valide [entree] 

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé. 
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé. 

- Fais un copier / coller de ce rapport dans ton prochain post. 

Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient(e) 


Attention : il y avait un "blanc" après aadcaad quand tu as utilisé l'outil la première fois. Attention en copiant le nom à chercher.

Recommence avec : zplprrh.dll

pancho · Answer

re,
Desolé pour le tps de reponse, rapport pour aadcaad

 21/10/2007 ---- 16:22:21,06  

----------------------------------
§§§§§§ [aadcaad] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{91AD9DC2-523A-47E2-A598-6C277F16CC50}\InprocServer32]
@="c:\windows\system32\aadcaad.dll"

[HKEY_USERS\S-1-5-21-2025429265-1417001333-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\bak]
"a"="C:\WINDOWS\system32\aadcaad.dll.bak"

[HKEY_USERS\S-1-5-21-2025429265-1417001333-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll]
"a"="C:\WINDOWS\system32\aadcaad.dll"

*******************
     [Fichier] 
*******************

c:\WINDOWS\system32\aadcaad.dll
c:\WINDOWS\system32\aadcaad.dll.bak


*********************
     [Même date] 
*********************

[16/10/2007 ] ---> C:\ComboFix.txt   
[16/10/2007 ] ---> C:\WINDOWS\catchme.exe   
[16/10/2007 ] ---> C:\WINDOWS\NirCmd.exe   
[16/10/2007 ] ---> C:\WINDOWS
tbtlog.txt   
[16/10/2007 ] ---> C:\WINDOWS\system32\aadcaad.dll   
[16/10/2007 ] ---> C:\WINDOWS\system32\aadcaad.dll.bak   
[16/10/2007 ] ---> C:\WINDOWS\system32\VFind.exe   



Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------


rapport pour zplprrh.dll

  21/10/2007 ---- 16:26:15,37  

----------------------------------
§§§§§§ [zplprrh.dll] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

Lyonnais92 · Answer

Re,

relance OAD sur 

tgttprbz

et aussi sur :


zplprrh

Poste les rapports

pancho · Answer

Bonsoir rapport pour tgttprbz

 21/10/2007 ---- 20:11:31,81  

----------------------------------
§§§§§§ [tgttprbz] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

et voici le rapport pour l'autre.

 21/10/2007 ---- 20:12:50,39  

----------------------------------
§§§§§§ [zplprrh] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------


Alors qu'est ce ke tu en pense.?

Lyonnais92 · Answer

Re,

on va essayer ça :

2. Copier tout le texte en gras de la boîte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C): 

Files to delete: 
c:\windows\system32\zplprrh.dll

IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur. 
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.[/i] 

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau. 


Sous "scrïpt file to execute" choisir "Input scrïpt Manually". 
Puis clique sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit scrïpt" 
Dans cette fenêtre, colle le texte précedemment copié sur le bureau par les touches (Ctrl+V). 
Clique Done 
ensuite clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du scrïpt 
Répondre "Yes" deux fois quand demandé. 

4. The Avenger va automatiquement faire ce qui suit: 


Il va Re-démarrer le système. 
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL. 
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt 
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip. 

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse 

Si ça ne fonctionne pas, il va falloir que j'active mon réseau.

pancho · Answer

desolé y'avait le match de l'om.

Voici le rapport

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Servicescbjmmos

*******************

Script file located at: \??\C:\WINDOWS\System32	csnalab.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File c:\windows\system32\zplprrh.dll not found!
Deletion of file c:\windows\system32\zplprrh.dll failed!

Could not process line:
c:\windows\system32\zplprrh.dll
Status: 0xc0000034


Completed script processing.

*******************

Finished!  Terminate.

Lyonnais92 · Answer

Re,

remets un log Hijackthis.

(désolé, j'aurai du le demander en même temps).

pancho · Answer

re, tjs la 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:25:55, on 21/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Share_Accelerator toolbar - {f5c93451-2609-4723-a053-5c19516be1a8} - C:\Program Files\Share_Accelerator	bSha0.dll
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {91AD9DC2-523A-47E2-A598-6C277F16CC50} - c:\windows\system32\aadcaad.dll
O3 - Toolbar: Share_Accelerator toolbar - {f5c93451-2609-4723-a053-5c19516be1a8} - C:\Program Files\Share_Accelerator	bSha0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [EasyTuneV] C:\Program Files\Gigabyte\ET5\GUI.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [M1000Mnt] M1000Rmv.exe /StartStillMnt
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [VirusGarde] C:\Program Files\VirusGarde\pgs.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02084dfa22d225efae05/netzip/RdxIE601_fr.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Lyonnais92 · Answer

Bonsoir,

j'ai activé mon réseau pour avoir des suggestions;

Il faut attendre les réponses.

Je fais signe dès que j'ai du nouveau.

Un outil de nettoyage :

Télécharge « clean.zip » 
http://www.malekal.com/download/clean.zip 
•- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ". 
 
•- Redémarre en mode sans échec. ( note bien ce que tu as à faire ). 
•- Ouvre le dossier « clean » qui se trouve sur ton bureau. 
•- Double-clic sur « clean.cmd ». 
Une fenêtre noire va apparaître, choisis l’option 2. 

Clean va travailler. 
•- Redémarre normalement 
•- Poste qui se trouve ici C:\rapport_clean.txt.

Lyonnais92 · Answer

Bonjour,

une première chose à faire :

Ouvre ce lien https://www.majorgeeks.com/files/details/gmer.html
Clique sur uner des lignes MajorGeeks TX à droite du drapeau américain.
Si une nouvelle fenêtre s'ouvre indiquant 'Your download of GMER will automatically start in a few seconds...' clique 'Click here if it does not. ' pour télécharge gmer et choisis 'Enregistrer' dans la fenêtre de téléchargement. Enregistre le sur le bureau.

Dezippe le sur le bureau.

Déconnecte toi d'Internet et fermer tous les autres programmes.

Double-clique sur gmer.exe pour lancer le programme.

Si on te pose la question, réponds oui au lancement de gmer.sys.
Si tu as un message t'avertissant du démarrage d'un programme sur l'activité des rootkits et si tu veux lancer un scan, réponds NON.

Ouvre l'onglet Rootkit.

Vérifies que toutes les cases de la colonne de droite sont cochées, à l'exception de "Show all".

Clique sur le bouton "Scan". Patiente le temps du scan.

A la fin, clique sur le bouton "Copy".

Le rapport a été copié dans le presse-papier. Ouvre le bloc-notes et appuie en même temps sur les touches Ctrl et V. Le rapport est copié dans le bloc-notes. Sauve le (enregistrer sous)sur le bureau.

Copie le dans ta réponse.

Mentionne moi les lignes en rouge s'il y en a.

NB. Si tu as un problème pour lancer gmer.exe, essaye en mode sans échec. Contrairement à d'autres scanners de rootkits, gmer s'xécute en mode sans échec.

pancho · Answer

re, voici le rapport de clean

Script execute en mode sans echec 
Rapport clean par Malekal_morte - http://www.malekal.com 
Script execute en mode sans echec 22/10/2007 a 16:21:12,43 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression des fichiers dans C: 
 
*** Suppression des fichiers dans C:\WINDOWS\ 
 
*** Suppression des fichiers dans C:\WINDOWS\system32 
 
*** Suppression des fichiers dans C:\Program Files 
tentative de suppression de "C:\Program Files\Everest Poker\" 
 
*** Suppression des clefs du registre effectuee.. 
*** Fin du rapport !

pancho · Answer

re, voila le rapport de gmer 

GMER 1.0.13.12551 - http://www.gmer.net
Rootkit scan 2007-10-22 16:47:37
Windows 5.1.2600 Service Pack 1


---- System - GMER 1.0.13 ----

SSDT            \SystemRoot\System32\vsdatant.sys                                                                                          ZwConnectPort
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                          ZwCreateFile
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                          ZwCreateKey
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                          ZwCreatePort
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                          ZwCreateProcess
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                          ZwCreateProcessEx
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                          ZwCreateSection
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                          ZwCreateWaitablePort
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                          ZwDeleteFile
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                          ZwDeleteKey
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                          ZwDeleteValueKey
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                          ZwDuplicateObject
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                          ZwLoadKey
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                          ZwOpenFile
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                          ZwOpenProcess
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                          ZwOpenThread
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                          ZwRenameKey
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                          ZwReplaceKey
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                          ZwRequestWaitReplyPort
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                          ZwRestoreKey
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                          ZwSecureConnectPort
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                          ZwSetInformationFile
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                          ZwSetValueKey
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                          ZwTerminateProcess

Code            miqvzwcl.dat                                                                                                               ObOpenObjectByName

---- Kernel code sections - GMER 1.0.13 ----

.text           ntoskrnl.exe!KeInitializeInterrupt + B67                                                                                   804DA23C 1 Byte  [ 06 ]
.text           ntoskrnl.exe!KeI386Call16BitCStyleFunction + 188                                                                           80502604 4 Bytes  [ B0, EE, AA, AA ]
.text           ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1A0                                                                           8050261C 4 Bytes  [ 70, B8, AA, AA ]
.text           ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1B0                                                                           8050262C 4 Bytes  [ 00, 67, AB, AA ]
.text           ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1C4                                                                           80502640 12 Bytes  [ 70, F2, AA, AA, 00, 55, AB, ... ]
.text           ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1D4                                                                           80502650 4 Bytes  [ 90, 90, AB, AA ]
.text           ...                                                                                                                        
PAGE            ntoskrnl.exe!ObOpenObjectByName                                                                                            805819E1 6 Bytes  JMP F87B6F92 miqvzwcl.dat
?               miqvzwcl.dat                                                                                                               Le fichier spécifié est introuvable.
?               srescan.sys                                                                                                                Le fichier spécifié est introuvable.
.text           ntdll.dll!NtCreateSection                                                                                                  77F65A21 1 Byte  [ E9 ]
.text           ntdll.dll!NtCreateSection + 2                                                                                              77F65A23 3 Bytes  [ 12, 0D, FA ]

---- User code sections - GMER 1.0.13 ----

.text           C:\Documents and Settings\maison\Local Settings\Temp\wz652c\gmer.exe[1604] ntdll.dll!NtCreateSection                       77F65A21 1 Byte  [ E9 ]
.text           C:\Documents and Settings\maison\Local Settings\Temp\wz652c\gmer.exe[1604] ntdll.dll!NtCreateSection + 2                   77F65A23 3 Bytes  [ 12, 0D, FA ]
.text           C:\Program Files\MSN Messenger\MsnMsgr.Exe[2044] kernel32.dll!SetUnhandledExceptionFilter                                  77E5E5A1 9 Bytes  JMP 004DE392 C:\Program Files\MSN Messenger\MsnMsgr.Exe

---- Kernel IAT/EAT - GMER 1.0.13 ----

IAT             \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS[ntoskrnl.exe!IoCreateDevice]                                                     822425E0
IAT             \SystemRoot\System32\DRIVERS\USBPORT.SYS[NTOSKRNL.EXE!IoCreateDevice]                                                      822425E0
IAT             \SystemRoot\System32\DRIVERS\imapi.sys[ntoskrnl.exe!IoCreateDevice]                                                        822425E0
IAT             \SystemRoot\System32\DRIVERSedbook.sys[ntoskrnl.exe!IoCreateDevice]                                                      822425E0
IAT             \SystemRoot\System32\DRIVERS\ks.sys[ntoskrnl.exe!IoCreateDevice]                                                           822425E0
IAT             \SystemRoot\System32\DRIVERS\fdc.sys[ntoskrnl.exe!IoCreateDevice]                                                          822425E0
IAT             \SystemRoot\System32\DRIVERS\serial.sys[ntoskrnl.exe!IoCreateDevice]                                                       822425E0
IAT             \SystemRoot\System32\DRIVERS\serenum.sys[ntoskrnl.exe!IoCreateDevice]                                                      822425E0
IAT             \SystemRoot\System32\DRIVERS\parport.sys[ntoskrnl.exe!IoCreateDevice]                                                      822425E0
IAT             \SystemRoot\System32\DRIVERS\i8042prt.sys[ntoskrnl.exe!IoCreateDevice]                                                     822425E0
IAT             \SystemRoot\System32\DRIVERS\mouclass.sys[ntoskrnl.exe!IoCreateDevice]                                                     822425E0
IAT             \SystemRoot\System32\DRIVERS\kbdclass.sys[ntoskrnl.exe!IoCreateDevice]                                                     822425E0
IAT             \SystemRoot\System32\DRIVERS\audstub.sys[ntoskrnl.exe!IoCreateDevice]                                                      822425E0
IAT             \SystemRoot\System32\DRIVERS
distapi.sys[ntoskrnl.exe!IoCreateDevice]                                                     822425E0
IAT             \SystemRoot\System32\DRIVERS
diswan.sys[NDIS.SYS!NdisCloseAdapter]                                                        8229DD70
IAT             \SystemRoot\System32\DRIVERS
diswan.sys[NDIS.SYS!NdisOpenAdapter]                                                         8229D960
IAT             \SystemRoot\System32\DRIVERS
diswan.sys[NDIS.SYS!NdisDeregisterProtocol]                                                  8229DF40
IAT             \SystemRoot\System32\DRIVERS
diswan.sys[NDIS.SYS!NdisRegisterProtocol]                                                    8229D770
IAT             \SystemRoot\System32\DRIVERSaspppoe.sys[NDIS.SYS!NdisCloseAdapter]                                                       [AAAB4050] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\DRIVERSaspppoe.sys[NDIS.SYS!NdisOpenAdapter]                                                        [AAAB3EF0] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\DRIVERSaspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                                                   [AAAB39D0] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\DRIVERSaspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                                                 [AAAB3B40] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]                                                   [AAAB3B40] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]                                                     [AAAB39D0] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                                                         [AAAB4050] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                                                          [AAAB3EF0] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\DRIVERS\msgpc.sys[ntoskrnl.exe!IoCreateDevice]                                                        822425E0
IAT             \SystemRoot\System32\DRIVERSdpdr.sys[ntoskrnl.exe!IoCreateDevice]                                                        822425E0
IAT             \SystemRoot\System32\DRIVERS	ermdd.sys[ntoskrnl.exe!IoCreateDevice]                                                       822425E0
IAT             \SystemRoot\System32\DRIVERS\swenum.sys[NTOSKRNL.EXE!IoCreateDevice]                                                       822425E0
IAT             \SystemRoot\System32\DRIVERS\update.sys[ntoskrnl.exe!IoCreateDevice]                                                       822425E0
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[ntoskrnl.exe!IoCreateDevice]                                                      822425E0
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                                                    [AAAB39D0] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                                                        [AAAB4050] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                                                         [AAAB3EF0] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                                                  [AAAB3B40] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\DRIVERS\usbhub.sys[ntoskrnl.exe!IoCreateDevice]                                                       822425E0
IAT             \SystemRoot\system32\drivers\portcls.sys[ntoskrnl.exe!IoCreateDevice]                                                      822425E0
IAT             \SystemRoot\System32\DRIVERS\flpydisk.sys[ntoskrnl.exe!IoCreateDevice]                                                     822425E0
IAT             \SystemRoot\System32\Drivers\Fs_Rec.SYS[ntoskrnl.exe!IoCreateDevice]                                                       822425E0
IAT             \SystemRoot\System32\Drivers\Null.SYS[ntoskrnl.exe!IoCreateDevice]                                                         822425E0
IAT             \SystemRoot\System32\Drivers\Beep.SYS[ntoskrnl.exe!IoCreateDevice]                                                         822425E0
IAT             \SystemRoot\System32\Drivers\Msfs.SYS[ntoskrnl.exe!IoCreateDevice]                                                         822425E0
IAT             \SystemRoot\System32\Drivers\Npfs.SYS[ntoskrnl.exe!IoCreateDevice]                                                         822425E0
IAT             \SystemRoot\System32\DRIVERSasacd.sys[ntoskrnl.exe!IoCreateDevice]                                                       822425E0
IAT             \SystemRoot\System32\DRIVERS\ipsec.sys[ntoskrnl.exe!IoCreateDevice]                                                        822425E0
IAT             \SystemRoot\System32\DRIVERS	cpip.sys[ntoskrnl.exe!IoCreateDevice]                                                        822425E0
IAT             \SystemRoot\System32\DRIVERS	cpip.sys[NDIS.SYS!NdisCloseAdapter]                                                          [AAAB4050] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\DRIVERS	cpip.sys[NDIS.SYS!NdisRegisterProtocol]                                                      [AAAB39D0] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\DRIVERS	cpip.sys[NDIS.SYS!NdisOpenAdapter]                                                           [AAAB3EF0] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\DRIVERS	cpip.sys[TDI.SYS!TdiRegisterDeviceObject]                                                    82242660
IAT             \SystemRoot\System32\DRIVERS
etbt.sys[ntoskrnl.exe!IoCreateDevice]                                                        822425E0
IAT             \SystemRoot\System32\DRIVERS
etbt.sys[TDI.SYS!TdiRegisterDeviceObject]                                                    82242660
IAT             \SystemRoot\System32\DRIVERS
etbios.sys[ntoskrnl.exe!IoCreateDevice]                                                      822425E0
IAT             \SystemRoot\System32\DRIVERSdbss.sys[ntoskrnl.exe!IoCreateDevice]                                                        822425E0
IAT             \SystemRoot\System32\DRIVERS\mrxsmb.sys[ntoskrnl.exe!IoCreateDevice]                                                       822425E0
IAT             \SystemRoot\System32\Drivers\Fips.SYS[ntoskrnl.exe!IoCreateDevice]                                                         822425E0
IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[ntoskrnl.exe!IoCreateDevice]                                                       822425E0
IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                                                   [AAAB3B40] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                                                     [AAAB39D0] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                                          [AAAB3EF0] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                                                         [AAAB4050] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\DRIVERS\arp1394.sys[ntoskrnl.exe!IoCreateDevice]                                                      822425E0
IAT             \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter]                                                        [AAAB4050] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter]                                                         [AAAB3EF0] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol]                                                  [AAAB3B40] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol]                                                    [AAAB39D0] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\Drivers\Cdfs.SYS[ntoskrnl.exe!IoCreateDevice]                                                         822425E0
IAT             \SystemRoot\System32\DRIVERS\USBSTOR.SYS[ntoskrnl.exe!IoCreateDevice]                                                      822425E0
IAT             \SystemRoot\System32\DRIVERS\STREAM.SYS[NTOSKRNL.EXE!IoCreateDevice]                                                       822425E0
IAT             \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateFile]                                                            [AAAC1360] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateDevice]                                                          822425E0
IAT             \SystemRoot\System32\DRIVERS
disuio.sys[ntoskrnl.exe!IoCreateDevice]                                                      822425E0
IAT             \SystemRoot\System32\DRIVERS
disuio.sys[NDIS.SYS!NdisRegisterProtocol]                                                    [AAAB39D0] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\DRIVERS
disuio.sys[NDIS.SYS!NdisDeregisterProtocol]                                                  [AAAB3B40] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\DRIVERS
disuio.sys[NDIS.SYS!NdisCloseAdapter]                                                        [AAAB4050] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\DRIVERS
disuio.sys[NDIS.SYS!NdisOpenAdapter]                                                         [AAAB3EF0] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\Drivers\Fastfat.SYS[ntoskrnl.exe!IoCreateDevice]                                                      822425E0
IAT             \SystemRoot\system32\drivers\wdmaud.sys[ntoskrnl.exe!IoCreateDevice]                                                       822425E0
IAT             \SystemRoot\system32\drivers\sysaudio.sys[ntoskrnl.exe!IoCreateDevice]                                                     822425E0
IAT             \SystemRoot\System32\DRIVERS\mrxdav.sys[ntoskrnl.exe!IoCreateDevice]                                                       822425E0
IAT             \SystemRoot\System32\Drivers\ParVdm.SYS[ntoskrnl.exe!IoCreateDevice]                                                       822425E0
IAT             \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtOpenFile]                                                              [AAAAC5C0] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtSetInformationFile]                                                    [AAAAC510] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateFile]                                                            [AAAAC6C0] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateDevice]                                                          822425E0
IAT             \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtCreateFile]                                                            [AAAAC220] \SystemRoot\System32\vsdatant.sys
IAT             \SystemRoot\System32\DRIVERS\ipnat.sys[ntoskrnl.exe!IoCreateDevice]                                                        822425E0
IAT             \SystemRoot\system32\drivers\kmixer.sys[ntoskrnl.exe!IoCreateDevice]                                                       822425E0

---- Devices - GMER 1.0.13 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE                                                                                       [A8462812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_NAMED_PIPE                                                                            [A8462812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE                                                                                        [A8462812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_READ                                                                                         [A8462812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE                                                                                        [A8462812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION                                                                            [A8462812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION                                                                              [A8462812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA                                                                                     [A8462812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA                                                                                       [A8462812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS                                                                                [A8462812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION                                                                     [A8462812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION                                                                       [A8462812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL                                                                            [A8462812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL                                                                          [A8463F76] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL                                                                               [A8462812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_INTERNAL_DEVICE_CONTROL                                                                      [A8462812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN                                                                                     [A8462812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL                                                                                 [A8462812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP                                                                                      [A8462812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_MAILSLOT                                                                              [A8462812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY                                                                               [A8462812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY                                                                                 [A8462812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_POWER                                                                                        [A8462812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_SYSTEM_CONTROL                                                                               [A8462812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CHANGE                                                                                [A8462812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA                                                                                  [A8462812] aswMon2.SYS
AttachedDevice  \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA                                                                                    [A8462812] aswMon2.SYS

Device          \Driver\Tcpip \Device\Ip IRP_MJ_CREATE                                                                                     [AAAC0C50] vsdatant.sys
Device          \Driver\Tcpip \Device\Ip IRP_MJ_CLOSE                                                                                      [AAAC0C50] vsdatant.sys
Device          \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL                                                                             [AAAC0C50] vsdatant.sys
Device          \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL                                                                    [AAAC0C50] vsdatant.sys
Device          \Driver\Tcpip \Device\Ip IRP_MJ_CLEANUP                                                                                    [AAAC0C50] vsdatant.sys

AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_CREATE                                                                                     [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_CREATE_NAMED_PIPE                                                                          [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_CLOSE                                                                                      [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_READ                                                                                       [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_WRITE                                                                                      [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_INFORMATION                                                                          [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_SET_INFORMATION                                                                            [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_EA                                                                                   [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_SET_EA                                                                                     [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_FLUSH_BUFFERS                                                                              [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_VOLUME_INFORMATION                                                                   [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_SET_VOLUME_INFORMATION                                                                     [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_DIRECTORY_CONTROL                                                                          [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_FILE_SYSTEM_CONTROL                                                                        [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL                                                                             [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL                                                                    [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_SHUTDOWN                                                                                   [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_LOCK_CONTROL                                                                               [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_CLEANUP                                                                                    [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_CREATE_MAILSLOT                                                                            [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_SECURITY                                                                             [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_SET_SECURITY                                                                               [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_POWER                                                                                      [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_SYSTEM_CONTROL                                                                             [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CHANGE                                                                              [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_QUOTA                                                                                [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_SET_QUOTA                                                                                  [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_CREATE                                                                                     [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_CREATE_NAMED_PIPE                                                                          [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_CLOSE                                                                                      [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_READ                                                                                       [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_WRITE                                                                                      [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_INFORMATION                                                                          [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_SET_INFORMATION                                                                            [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_EA                                                                                   [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_SET_EA                                                                                     [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_FLUSH_BUFFERS                                                                              [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_VOLUME_INFORMATION                                                                   [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_SET_VOLUME_INFORMATION                                                                     [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_DIRECTORY_CONTROL                                                                          [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_FILE_SYSTEM_CONTROL                                                                        [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL                                                                             [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL                                                                    [F86862C0] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_SHUTDOWN                                                                                   [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_LOCK_CONTROL                                                                               [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_CLEANUP                                                                                    [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_CREATE_MAILSLOT                                                                            [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_SECURITY                                                                             [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_SET_SECURITY                                                                               [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_POWER                                                                                      [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_SYSTEM_CONTROL                                                                             [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CHANGE                                                                              [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_QUOTA                                                                                [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Ip IRP_MJ_SET_QUOTA                                                                                  [F86868E6] aswTdi.SYS

Device          \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE                                                                                    [AAAC0C50] vsdatant.sys
Device          \Driver\Tcpip \Device\Tcp IRP_MJ_CLOSE                                                                                     [AAAC0C50] vsdatant.sys
Device          \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CONTROL                                                                            [AAAC0C50] vsdatant.sys
Device          \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL                                                                   [AAAC0C50] vsdatant.sys
Device          \Driver\Tcpip \Device\Tcp IRP_MJ_CLEANUP                                                                                   [AAAC0C50] vsdatant.sys

AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE                                                                                    [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE_NAMED_PIPE                                                                         [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_CLOSE                                                                                     [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_READ                                                                                      [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_WRITE                                                                                     [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_INFORMATION                                                                         [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_SET_INFORMATION                                                                           [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_EA                                                                                  [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_SET_EA                                                                                    [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_FLUSH_BUFFERS                                                                             [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_VOLUME_INFORMATION                                                                  [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_SET_VOLUME_INFORMATION                                                                    [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_DIRECTORY_CONTROL                                                                         [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_FILE_SYSTEM_CONTROL                                                                       [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CONTROL                                                                            [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL                                                                   [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_SHUTDOWN                                                                                  [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_LOCK_CONTROL                                                                              [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_CLEANUP                                                                                   [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE_MAILSLOT                                                                           [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_SECURITY                                                                            [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_SET_SECURITY                                                                              [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_POWER                                                                                     [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_SYSTEM_CONTROL                                                                            [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CHANGE                                                                             [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_QUOTA                                                                               [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_SET_QUOTA                                                                                 [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE                                                                                    [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE_NAMED_PIPE                                                                         [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_CLOSE                                                                                     [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_READ                                                                                      [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_WRITE                                                                                     [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_INFORMATION                                                                         [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_SET_INFORMATION                                                                           [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_EA                                                                                  [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_SET_EA                                                                                    [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_FLUSH_BUFFERS                                                                             [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_VOLUME_INFORMATION                                                                  [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_SET_VOLUME_INFORMATION                                                                    [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_DIRECTORY_CONTROL                                                                         [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_FILE_SYSTEM_CONTROL                                                                       [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CONTROL                                                                            [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL                                                                   [F86862C0] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_SHUTDOWN                                                                                  [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_LOCK_CONTROL                                                                              [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_CLEANUP                                                                                   [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE_MAILSLOT                                                                           [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_SECURITY                                                                            [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_SET_SECURITY                                                                              [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_POWER                                                                                     [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_SYSTEM_CONTROL                                                                            [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CHANGE                                                                             [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_QUOTA                                                                               [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Tcp IRP_MJ_SET_QUOTA                                                                                 [F86868E6] aswTdi.SYS

Device          \Driver\Tcpip \Device\Udp IRP_MJ_CREATE                                                                                    [AAAC0C50] vsdatant.sys
Device          \Driver\Tcpip \Device\Udp IRP_MJ_CLOSE                                                                                     [AAAC0C50] vsdatant.sys
Device          \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CONTROL                                                                            [AAAC0C50] vsdatant.sys
Device          \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL                                                                   [AAAC0C50] vsdatant.sys
Device          \Driver\Tcpip \Device\Udp IRP_MJ_CLEANUP                                                                                   [AAAC0C50] vsdatant.sys

AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_CREATE                                                                                    [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_CREATE_NAMED_PIPE                                                                         [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_CLOSE                                                                                     [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_READ                                                                                      [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_WRITE                                                                                     [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_INFORMATION                                                                         [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_SET_INFORMATION                                                                           [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_EA                                                                                  [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_SET_EA                                                                                    [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_FLUSH_BUFFERS                                                                             [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_VOLUME_INFORMATION                                                                  [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_SET_VOLUME_INFORMATION                                                                    [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_DIRECTORY_CONTROL                                                                         [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_FILE_SYSTEM_CONTROL                                                                       [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CONTROL                                                                            [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL                                                                   [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_SHUTDOWN                                                                                  [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_LOCK_CONTROL                                                                              [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_CLEANUP                                                                                   [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_CREATE_MAILSLOT                                                                           [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_SECURITY                                                                            [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_SET_SECURITY                                                                              [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_POWER                                                                                     [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_SYSTEM_CONTROL                                                                            [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CHANGE                                                                             [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_QUOTA                                                                               [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_SET_QUOTA                                                                                 [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_CREATE                                                                                    [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_CREATE_NAMED_PIPE                                                                         [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_CLOSE                                                                                     [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_READ                                                                                      [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_WRITE                                                                                     [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_INFORMATION                                                                         [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_SET_INFORMATION                                                                           [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_EA                                                                                  [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_SET_EA                                                                                    [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_FLUSH_BUFFERS                                                                             [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_VOLUME_INFORMATION                                                                  [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_SET_VOLUME_INFORMATION                                                                    [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_DIRECTORY_CONTROL                                                                         [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_FILE_SYSTEM_CONTROL                                                                       [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CONTROL                                                                            [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL                                                                   [F86862C0] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_SHUTDOWN                                                                                  [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_LOCK_CONTROL                                                                              [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_CLEANUP                                                                                   [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_CREATE_MAILSLOT                                                                           [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_SECURITY                                                                            [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_SET_SECURITY                                                                              [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_POWER                                                                                     [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_SYSTEM_CONTROL                                                                            [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CHANGE                                                                             [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_QUOTA                                                                               [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\Udp IRP_MJ_SET_QUOTA                                                                                 [F86868E6] aswTdi.SYS

Device          \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE                                                                                  [AAAC0C50] vsdatant.sys
Device          \Driver\Tcpip \Device\RawIp IRP_MJ_CLOSE                                                                                   [AAAC0C50] vsdatant.sys
Device          \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CONTROL                                                                          [AAAC0C50] vsdatant.sys
Device          \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL                                                                 [AAAC0C50] vsdatant.sys
Device          \Driver\Tcpip \Device\RawIp IRP_MJ_CLEANUP                                                                                 [AAAC0C50] vsdatant.sys

AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE                                                                                  [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE_NAMED_PIPE                                                                       [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_CLOSE                                                                                   [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_READ                                                                                    [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_WRITE                                                                                   [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_INFORMATION                                                                       [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_SET_INFORMATION                                                                         [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_EA                                                                                [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_SET_EA                                                                                  [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_FLUSH_BUFFERS                                                                           [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_VOLUME_INFORMATION                                                                [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_SET_VOLUME_INFORMATION                                                                  [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_DIRECTORY_CONTROL                                                                       [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_FILE_SYSTEM_CONTROL                                                                     [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CONTROL                                                                          [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL                                                                 [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_SHUTDOWN                                                                                [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_LOCK_CONTROL                                                                            [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_CLEANUP                                                                                 [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE_MAILSLOT                                                                         [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_SECURITY                                                                          [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_SET_SECURITY                                                                            [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_POWER                                                                                   [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_SYSTEM_CONTROL                                                                          [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CHANGE                                                                           [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_QUOTA                                                                             [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_SET_QUOTA                                                                               [F839E0F0] kl1.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE                                                                                  [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE_NAMED_PIPE                                                                       [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_CLOSE                                                                                   [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_READ                                                                                    [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_WRITE                                                                                   [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_INFORMATION                                                                       [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_SET_INFORMATION                                                                         [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_EA                                                                                [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_SET_EA                                                                                  [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_FLUSH_BUFFERS                                                                           [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_VOLUME_INFORMATION                                                                [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_SET_VOLUME_INFORMATION                                                                  [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_DIRECTORY_CONTROL                                                                       [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_FILE_SYSTEM_CONTROL                                                                     [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CONTROL                                                                          [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL                                                                 [F86862C0] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_SHUTDOWN                                                                                [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_LOCK_CONTROL                                                                            [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_CLEANUP                                                                                 [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE_MAILSLOT                                                                         [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_SECURITY                                                                          [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_SET_SECURITY                                                                            [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_POWER                                                                                   [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_SYSTEM_CONTROL                                                                          [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CHANGE                                                                           [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_QUOTA                                                                             [F86868E6] aswTdi.SYS
AttachedDevice  \Driver\Tcpip \Device\RawIp IRP_MJ_SET_QUOTA                                                                               [F86868E6] aswTdi.SYS

Device          \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CREATE

Lyonnais92 · Answer

Re,

remets un rapport Combofix (post 24)

pancho · Answer

re, voici le rapport combo fix ComboFix 07-10-16.1 - maison 2007-10-23 21:56:16.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.127 [GMT 2:00] Running from: C:\Documents and Settings\maison\Bureau\ComboFix.exe . ((((((((((((((((((((((((((((( Fichiers créés 2007-09-23 to 2007-10-23 )))))))))))))))))))))))))))))))))))) . 2007-10-19 20:12 d-------- C:\Program Files\Navilog1 2007-10-17 06:50 d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier 2007-10-17 06:48 d-------- C:\WINDOWS\Internet Logs 2007-10-16 22:56 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-16 22:45 81,408 --a------ C:\WINDOWS\system32\aadcaad.dll 2007-10-14 21:39 1,908 --a------ C:\WINDOWS\system32 mp.reg 2007-10-14 21:38 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2007-10-14 21:38 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-10-14 21:38 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-10-14 21:38 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-10-14 21:38 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2007-10-14 20:21 d-------- C:\VundoFix Backups 2007-10-14 20:16 d-------- C:\Program Files\Trend Micro 2007-10-14 19:28 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2007-10-14 08:41 41,728 --a------ C:\WINDOWS\system32\apmrwkrf.dat 2007-10-14 08:41 17,792 C:\WINDOWS\system32\drivers\miqvzwcl.dat 2007-10-12 19:19 801,144 --a------ C:\WINDOWS\system32\aswBoot.exe 2007-10-12 19:19 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr 2007-10-12 19:19 94,416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2007-10-12 19:19 92,848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2007-10-12 19:19 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2007-10-12 19:19 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2007-10-12 19:19 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2007-10-08 23:24 d-------- C:\Documents and Settings\maison\Contacts 2007-10-06 01:22 d-------- C:\Program Files\Fichiers communs\G DATA 2007-10-06 01:06 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP 2007-10-05 23:10 d-------- C:\backups 2007-10-05 21:40 d-------- C:\Documents and Settings\maison\Application Data\cv=2.4&pn=&pv=&pt=&sn=&sna=&sns=&sne=&snr=&snb=&us=sxmea 2007-10-05 21:35 dr------- C:\Documents and Settings\All Users\Application Data\cv=2.4&pn=&pv=&pt=&sn=&sna=&sns=&sne=&snr=&snb=&us=sxmea 2007-10-05 20:16 d--hs---- C:\UGA6PV 2007-10-05 20:15 d-------- C:\Documents and Settings\maison\Application Data\VirusGarde 2007-10-05 20:01 22,697 --------- C:\WINDOWS\pdoakac.exe 2007-10-04 23:34 d-------- C:\Program Files\Fichiers communs\VirusGarde 2007-10-04 23:34 46,592 --a------ C:\WINDOWS\system32\drivers\FMTR.sys.ren 2007-10-04 22:31 d-------- C:\Documents and Settings\maison\Application Data\AVG7 2007-10-04 22:30 d-------- C:\Documents and Settings\LocalService\Application Data\AVG7 2007-10-04 22:30 d-------- C:\Documents and Settings\All Users\Application Data\avg7 2007-10-04 19:06 7,680 --a------ C:\WINDOWS\system32\printer.exe.ren 2007-09-30 20:54 741,632 --a------ C:\WINDOWS\system32\zgnlkjga.dat 2007-09-30 20:54 118,528 --a------ C:\WINDOWS\system32\mgeuyetp.dat 2007-09-30 20:54 35,584 --a------ C:\WINDOWS\system32\gcorzrxy.dat 2007-09-30 20:54 34,560 --a------ C:\WINDOWS\system32\snnzbzqu.dat . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-23 16:49 --------- d-----w C:\Program Files\Wanadoo 2007-10-18 20:26 --------- d-----w C:\Program Files\DivX 2007-10-17 04:58 7,456 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat 2007-10-17 04:58 2,948 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2007-10-17 04:58 159,776 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2007-10-17 04:58 1,748 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2007-10-17 04:54 --------- d-----w C:\Program Files\Zapu 2007-10-17 04:49 75,932 ----a-w C:\WINDOWS\system32\drivers\klick.dat 2007-10-17 04:49 74,396 ----a-w C:\WINDOWS\system32\drivers\klin.dat 2007-10-12 16:50 --------- d-----w C:\Documents and Settings\maison\Application Data\Lavasoft 2007-10-05 23:24 52,602 ----a-w C:\WINDOWS\system32\interceptor.sys 2007-10-05 23:22 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-10-05 20:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\WinZip 2007-09-29 18:50 124,416 ----a-w C:\WINDOWS\system32\dniyzblg.dll 2007-09-02 10:26 --------- d-----w C:\Program Files\Fichiers communs\xing shared 2007-09-02 10:25 --------- d-----w C:\Program Files\Real 2007-09-02 10:25 --------- d-----w C:\Program Files\Fichiers communs\Real 2007-08-27 04:33 --------- d-----w C:\Documents and Settings\maison\Application Data\MSN6 2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll 2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll 2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe 2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll 2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll 2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll 2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll 2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll 2007-06-25 11:49 2,526 ----a-w C:\Documents and Settings\maison\Application Data\wklnhst.dat . ((((((((((((((((((((((((((((( snapshot@2007-10-16_23.01.13.00 ))))))))))))))))))))))))))))))))))))))))) . + 2007-10-22 14:36:13 585,791 ----a-w C:\WINDOWS\gmer.dll + 2007-06-29 07:38:18 581,632 ----a-w C:\WINDOWS\gmer.exe + 2001-08-28 12:00:00 115,200 ----a-w C:\WINDOWS\LastGood\System32\calc.exe + 2001-08-28 12:00:00 80,896 ----a-w C:\WINDOWS\LastGood\System32\charmap.exe + 2002-08-29 09:45:10 100,352 ----a-w C:\WINDOWS\LastGood\System32\clipbrd.exe + 2001-08-28 12:00:00 55,808 ----a-w C:\WINDOWS\LastGood\System32\freecell.exe + 2001-08-28 12:00:00 634,880 ----a-w C:\WINDOWS\LastGood\System32\getuname.dll + 2001-08-28 12:00:00 128,000 ----a-w C:\WINDOWS\LastGood\System32\mshearts.exe + 2001-08-28 12:00:00 57,344 ----a-w C:\WINDOWS\LastGood\System32\sol.exe + 2002-08-29 09:45:14 534,528 ----a-w C:\WINDOWS\LastGood\System32\spider.exe + 2001-08-28 12:00:00 119,808 ----a-w C:\WINDOWS\LastGood\System32\winmine.exe - 2007-10-16 20:56:41 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat + 2007-10-23 19:56:13 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat + 2007-10-22 14:36:13 70,001 ----a-w C:\WINDOWS\system32\drivers\gmer.sys + 2007-05-30 22:03:48 110,360 ----a-w C:\WINDOWS\system32\drivers\kl1.sys + 2007-05-30 22:03:48 175,376 ----a-w C:\WINDOWS\system32\drivers\klif.sys + 2007-06-21 19:55:28 21,904 ----a-w C:\WINDOWS\system32\imsinstall_loc040c.dll + 2007-06-21 19:55:28 17,808 ----a-w C:\WINDOWS\system32\imslsp_install_loc040c.dll + 2007-06-21 19:54:26 796,048 ----a-w C:\WINDOWS\system32\libeay32_0.9.6l.dll + 2004-04-27 02:40:52 11,264 ----a-w C:\WINDOWS\system32\SpOrder.dll + 2007-06-21 19:54:30 83,432 ----a-w C:\WINDOWS\system32\vsdata.dll + 2007-06-21 19:54:52 394,984 ----a-w C:\WINDOWS\system32\vsdatant.sys + 2007-06-21 19:54:32 157,160 ----a-w C:\WINDOWS\system32\vsinit.dll + 2007-06-21 19:54:32 103,912 ----a-w C:\WINDOWS\system32\vsmonapi.dll + 2007-06-21 19:54:32 275,944 ----a-w C:\WINDOWS\system32\vspubapi.dll + 2007-06-21 19:54:32 71,144 ----a-w C:\WINDOWS\system32\vsregexp.dll + 2007-06-21 19:54:34 472,552 ----a-w C:\WINDOWS\system32\vsutil.dll + 2007-06-21 19:55:30 54,672 ----a-w C:\WINDOWS\system32\vsutil_loc040c.dll + 2007-06-21 19:54:34 46,568 ----a-w C:\WINDOWS\system32\vswmi.dll + 2007-06-21 19:54:34 99,816 ----a-w C:\WINDOWS\system32\vsxml.dll + 2007-06-21 19:54:34 83,432 ----a-w C:\WINDOWS\system32\zlcomm.dll + 2007-06-21 19:54:34 71,144 ----a-w C:\WINDOWS\system32\zlcommdb.dll + 2007-10-17 04:55:37 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat + 2007-06-21 19:54:24 366,112 ----a-w C:\WINDOWS\system32\ZoneLabs\av.dll + 2007-06-21 19:55:26 26,000 ----a-w C:\WINDOWS\system32\ZoneLabs\av_loc040c.dll + 2007-05-30 22:03:30 65,248 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\bases\aphish.dat + 2006-06-30 12:47:36 21,568 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\bases\avcmhk4.dll + 2007-05-30 22:03:16 77,824 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\CKAHComm.dll + 2007-05-30 22:03:16 110,592 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\CKAHrule.dll + 2007-05-30 22:03:16 331,776 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\CKAHUM.dll + 2007-05-30 22:03:16 38,400 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\FSSync.dll + 2006-09-19 21:12:14 208,960 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\inv.dll + 2007-05-30 22:03:16 258,048 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\kave.dll + 2007-05-30 22:03:48 175,376 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\klif_32.sys + 2006-12-19 16:13:52 1,093,632 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\libeay32.dll + 2007-05-30 22:03:20 548,864 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\msvcp80.dll + 2007-05-30 22:03:20 626,688 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\msvcr80.dll + 2007-05-30 22:03:18 184,320 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\prloader.dll + 2007-05-30 22:03:22 90,112 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\prremote.dll + 2007-05-30 22:03:18 118,784 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe + 2006-12-19 16:13:52 200,704 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\ssleay32.dll + 2007-06-21 19:54:24 99,816 ----a-w C:\WINDOWS\system32\ZoneLabs\camupd.dll + 2007-06-21 19:55:26 17,808 ----a-w C:\WINDOWS\system32\ZoneLabs\camupd_loc040c.dll + 2004-01-30 10:35:08 813,568 ----a-w C:\WINDOWS\system32\ZoneLabs\dbghelp.dll + 2007-06-21 19:54:24 128,480 ----a-w C:\WINDOWS\system32\ZoneLabs\fbl.dll + 2007-06-21 19:54:26 38,376 ----a-w C:\WINDOWS\system32\ZoneLabs\featuremap.dll + 2007-06-21 19:54:26 321,016 ----a-w C:\WINDOWS\system32\ZoneLabs\imsecure.dll + 2007-06-21 19:55:28 26,000 ----a-w C:\WINDOWS\system32\ZoneLabs\imsecure_loc040c.dll + 2007-06-21 19:55:26 288,144 ----a-w C:\WINDOWS\system32\ZoneLabs\lib\ConfigWizard_loc040c.zip.dll + 2007-06-21 19:55:28 152,976 ----a-w C:\WINDOWS\system32\ZoneLabs\lib\LicenseUI_loc040c.zip.dll + 2007-06-21 19:54:54 26,000 ----a-w C:\WINDOWS\system32\ZoneLabs\lib\zlsvc.zip.dll + 2007-06-21 19:54:54 1,361,296 ----a-w C:\WINDOWS\system32\ZoneLabs\lib\zpy.zip.dll + 2007-06-21 19:54:54 71,056 ----a-w C:\WINDOWS\system32\ZoneLabs\lib\zui.zip.dll + 2007-06-21 19:56:16 30,184 ----a-w C:\WINDOWS\system32\ZoneLabs\plugins pc_server pc_server.dll + 2007-06-21 19:56:16 30,216 ----a-w C:\WINDOWS\system32\ZoneLabs\plugins\vsmon_plugin\vsmon_plugin.dll + 2007-06-11 10:43:50 714,472 ----a-w C:\WINDOWS\system32\ZoneLabs\qrbase.dll + 2007-06-11 10:43:52 788,200 ----a-w C:\WINDOWS\system32\ZoneLabs\qrsrecl.dll + 2007-06-21 19:54:28 173,544 ----a-w C:\WINDOWS\system32\ZoneLabs\scheduler.dll + 2007-06-21 19:55:30 17,808 ----a-w C:\WINDOWS\system32\ZoneLabs\scheduler_loc040c.dll + 2007-01-11 09:12:08 2,432,259 ----a-w C:\WINDOWS\system32\ZoneLabs\spyware.dat + 2007-06-11 10:43:56 1,496,808 ----a-w C:\WINDOWS\system32\ZoneLabs\srescan.dll + 2007-06-11 10:44:10 50,416 ----a-w C:\WINDOWS\system32\ZoneLabs\srescan.sys + 2007-06-21 19:54:28 456,168 ----a-w C:\WINDOWS\system32\ZoneLabs\ssleay32.dll + 2007-06-21 19:56:16 210,432 ----a-w C:\WINDOWS\system32\ZoneLabs\streamapi\httpblocker\httpblocker.dll + 2007-06-21 19:56:18 3,229,176 ----a-w C:\WINDOWS\system32\ZoneLabs\streamapi\imslsp\imslsp.dll + 2007-06-21 19:55:28 26,000 ----a-w C:\WINDOWS\system32\ZoneLabs\streamapi\imslsp\imslsp_loc040c.dll + 2006-09-04 18:59:14 503,875 ----a-w C:\WINDOWS\system32\ZoneLabs\upd_core.dll + 2007-10-17 05:17:06 833,248 ----a-w C:\WINDOWS\system32\ZoneLabs\updating.dll + 2007-06-21 19:54:46 144,936 ----a-w C:\WINDOWS\system32\ZoneLabs\updclient.exe + 2007-06-21 19:55:30 75,152 ----a-w C:\WINDOWS\system32\ZoneLabs\updClient_loc040c.dll + 2007-01-11 15:31:06 286,787 ----a-w C:\WINDOWS\system32\ZoneLabs\updtrsdk.dll + 2007-06-21 19:54:30 108,008 ----a-w C:\WINDOWS\system32\ZoneLabs\vsavpro.dll + 2007-06-21 19:54:30 79,336 ----a-w C:\WINDOWS\system32\ZoneLabs\vsdb.dll + 2007-06-21 19:55:30 17,808 ----a-w C:\WINDOWS\system32\ZoneLabs\vsdb_loc040c.dll + 2007-06-21 19:54:46 75,304 ----a-w C:\WINDOWS\system32\ZoneLabs\vsmon.exe + 2007-06-21 19:55:30 46,480 ----a-w C:\WINDOWS\system32\ZoneLabs\vsmon_loc040c.dll + 2007-06-21 19:54:32 2,024,936 ----a-w C:\WINDOWS\system32\ZoneLabs\vsmondll.dll + 2007-06-21 19:54:32 1,345,000 ----a-w C:\WINDOWS\system32\ZoneLabs\vsruledb.dll + 2007-06-21 19:55:30 198,032 ----a-w C:\WINDOWS\system32\ZoneLabs\vsruledb_loc040c.dll + 2007-06-21 19:54:34 243,176 ----a-w C:\WINDOWS\system32\ZoneLabs\vsvault.dll + 2007-06-21 19:55:30 17,808 ----a-w C:\WINDOWS\system32\ZoneLabs\vsvault_loc040c.dll + 2007-01-11 09:12:08 2,432,259 ----a-w C:\WINDOWS\system32\ZoneLabs\zlasdbup.dat + 2007-06-21 19:54:36 177,640 ----a-w C:\WINDOWS\system32\ZoneLabs\zlparser.dll + 2007-06-21 19:54:36 79,344 ----a-w C:\WINDOWS\system32\ZoneLabs\zlquarantine.dll + 2007-06-21 19:55:32 17,808 ----a-w C:\WINDOWS\system32\ZoneLabs\zlquarantine_loc040c.dll + 2007-06-21 19:54:36 378,344 ----a-w C:\WINDOWS\system32\ZoneLabs\zlsre.dll + 2007-06-21 19:55:32 21,904 ----a-w C:\WINDOWS\system32\ZoneLabs\zlsre_loc040c.dll + 2007-06-21 19:54:36 120,296 ----a-w C:\WINDOWS\system32\ZoneLabs\zlupdate.dll + 2007-06-21 19:54:40 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll + 2007-10-23 16:24:21 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_75c.dat + 2007-06-21 19:54:48 75,248 ----a-w C:\WINDOWS\zllsputility.exe + 2007-06-21 19:55:32 42,384 ----a-w C:\WINDOWS\zllsputility_loc040c.dll . -- Snapshot reset to current date -- . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{91AD9DC2-523A-47E2-A598-6C277F16CC50}] 2007-10-16 22:55 81408 --a------ c:\windows\system32\aadcaad.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 17:07 C:\WINDOWS\system32\HdAShCut.exe] "RTHDCPL"="RTHDCPL.EXE" [2005-07-13 04:37 C:\WINDOWS\RTHDCPL.EXE] "EasyTuneV"="C:\Program Files\Gigabyte\ET5\GUI.exe" [2004-06-14 11:54] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50] "WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 14:49] "WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55] "M1000Mnt"="M1000Rmv.exe" [] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" [2007-09-02 12:25] "VirusGarde"="C:\Program Files\VirusGarde\pgs.exe" [] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06] "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 11:45] "WOOKIT"="C:\PROGRA~1\Wanadoo\Shell.exe" [2004-08-23 14:50] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-11 16:33] "Shareaza"="C:\Program Files\Shareaza\Shareaza.exe" [2007-02-05 04:05] "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55] [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoControlPanel"=1 (0x1) "NoWindowsUpdate"=1 (0x1) R0 nvrfhgrt;Microsoft RPC API Helper;C:\WINDOWS\System32\drivers\miqvzwcl.dat S3 gdrv;gdrv;\??\C:\WINDOWS\gdrv.sys S3 M1000Srv;M5603C USB2.0 Camera Driver;C:\WINDOWS\System32\Drivers\M1000KNT.sys . ************************************************************************** catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-23 21:57:24 Windows 5.1.2600 Service Pack 1 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-10-23 21:58:01 C:\ComboFix2.txt ... 2007-10-16 23:02 . --- E O F ---

Lyonnais92 · Answer

Bonsoir,

peux tu faire scanner par virusTotal :   C:\WINDOWS\system32\dniyzblg.dll et mets le résultat dans ta réponse.

pancho · Answer

bonsoir, voila le rapport de virus totale

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2007.10.26.0 2007.10.25 - 
AntiVir 7.6.0.27 2007.10.25 TR/Crypt.Morphine.Gen 
Authentium 4.93.8 2007.10.25 - 
Avast 4.7.1074.0 2007.10.25 Win32:Delf-GFV 
AVG 7.5.0.488 2007.10.25 BHO.BOS 
BitDefender 7.2 2007.10.25 - 
CAT-QuickHeal 9.00 2007.10.25 - 
ClamAV 0.91.2 2007.10.25 - 
DrWeb 4.44.0.09170 2007.10.25 - 
eSafe 7.0.15.0 2007.10.22 - 
eTrust-Vet 31.2.5241 2007.10.25 - 
Ewido 4.0 2007.10.25 - 
FileAdvisor 1 2007.10.25 - 
Fortinet 3.11.0.0 2007.10.19 - 
F-Prot 4.3.2.48 2007.10.25 - 
F-Secure 6.70.13030.0 2007.10.25 W32/BHO.QG 
Ikarus T3.1.1.12 2007.10.25 - 
Kaspersky 7.0.0.125 2007.10.25 - 
McAfee 5149 2007.10.25 - 
Microsoft 1.2908 2007.10.25 VirTool:Win32/Obfuscator.P 
NOD32v2 2617 2007.10.25 - 
Norman 5.80.02 2007.10.25 W32/BHO.QG 
Panda 9.0.0.4 2007.10.25 Suspicious file 
Prevx1 V2 2007.10.25 - 
Rising 19.46.31.00 2007.10.25 - 
Sophos 4.22.0 2007.10.25 - 
Sunbelt 2.2.907.0 2007.10.24 - 
Symantec 10 2007.10.25 - 
TheHacker 6.2.9.107 2007.10.25 - 
VBA32 3.12.2.4 2007.10.24 - 
VirusBuster 4.3.26:9 2007.10.25 - 
Webwasher-Gateway 6.0.1 2007.10.25 Trojan.Crypt.Morphine.Gen 
Information additionnelle 
File size: 124416 bytes 
MD5: 82d8263cb22abacd8459f2636b198ccf 
SHA1: 48cc0401d037346dccdff68e6f9f99772a47c3c5 
packers: Morphine, UPX 
packers: Morphine

Lyonnais92 · Answer

Bonsoir,

encore un pour VirusTotal :

C:\WINDOWS\system32\interceptor.sys 

Tu n'as pas dit si tu tenais à Zapu.

pancho · Answer

re, Non je ne tiens pas a zapu je l'ai desinstal deja....
Voici le rapport de virus totale.

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2007.10.26.0 2007.10.25 - 
AntiVir 7.6.0.27 2007.10.25 - 
Authentium 4.93.8 2007.10.25 - 
Avast 4.7.1074.0 2007.10.25 - 
AVG 7.5.0.503 2007.10.25 - 
BitDefender 7.2 2007.10.25 - 
CAT-QuickHeal 9.00 2007.10.25 - 
ClamAV 0.91.2 2007.10.25 - 
DrWeb 4.44.0.09170 2007.10.25 - 
eSafe 7.0.15.0 2007.10.22 - 
eTrust-Vet 31.2.5241 2007.10.25 - 
Ewido 4.0 2007.10.25 - 
FileAdvisor 1 2007.10.25 - 
Fortinet 3.11.0.0 2007.10.19 - 
F-Prot 4.3.2.48 2007.10.25 - 
F-Secure 6.70.13030.0 2007.10.25 - 
Ikarus T3.1.1.12 2007.10.25 - 
Kaspersky 7.0.0.125 2007.10.25 - 
McAfee 5149 2007.10.25 - 
Microsoft 1.2908 2007.10.25 - 
NOD32v2 2617 2007.10.25 - 
Norman 5.80.02 2007.10.25 - 
Panda 9.0.0.4 2007.10.25 - 
Prevx1 V2 2007.10.25 - 
Rising 19.46.31.00 2007.10.25 - 
Sophos 4.22.0 2007.10.25 - 
Sunbelt 2.2.907.0 2007.10.24 - 
Symantec 10 2007.10.25 - 
TheHacker 6.2.9.107 2007.10.25 - 
VBA32 3.12.2.4 2007.10.25 - 
VirusBuster 4.3.26:9 2007.10.25 - 
Webwasher-Gateway 6.0.1 2007.10.25 - 
Information additionnelle 
File size: 52602 bytes 
MD5: d969cb591a67356a629693976a600c81 
SHA1: b1edeee3c96bb42d4be90202ed35063d5c1150ae

Lyonnais92 · Answer

Re,

Relance HijackThis.

Choisis Do a scan only

Coche la case devant les lignes suivantes 

O2 - BHO: (no name) - {91AD9DC2-523A-47E2-A598-6C277F16CC50} - c:\windows\system32\aadcaad.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)

Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.


double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en gras ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

C:\WINDOWS\System32\drivers\miqvzwcl.dat 
c:\windows\system32\aadcaad.dll 
 C:\WINDOWS\system32\dniyzblg.dll 
  C:\WINDOWS\system32\printer.exe.ren 
 C:\WINDOWS\system32\zgnlkjga.dat 
 C:\WINDOWS\system32\mgeuyetp.dat 
 C:\WINDOWS\system32\gcorzrxy.dat 
 C:\WINDOWS\system32\snnzbzqu.dat 
 C:\Documents and Settings\maison\Application Data\VirusGarde 
 C:\WINDOWS\pdoakac.exe 
 C:\Program Files\Fichiers communs\VirusGarde 
 C:\WINDOWS\system32\drivers\FMTR.sys.ren 
 C:\WINDOWS\system32\apmrwkrf.dat 
 C:\WINDOWS\system32\drivers\miqvzwcl.dat

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes. 

Refais tourner Combofix et poste le log.

pancho · Answer

Bonsoir, j'ai tout fait le rapport move it...



File move failed. C:\WINDOWS\System32\drivers\miqvzwcl.dat scheduled to be moved on reboot.
LoadLibrary failed for c:\windows\system32\aadcaad.dll
c:\windows\system32\aadcaad.dll NOT unregistered.
File move failed. c:\windows\system32\aadcaad.dll scheduled to be moved on reboot.
LoadLibrary failed for C:\WINDOWS\system32\dniyzblg.dll
C:\WINDOWS\system32\dniyzblg.dll NOT unregistered.
C:\WINDOWS\system32\dniyzblg.dll moved successfully.
C:\WINDOWS\system32\printer.exe.ren moved successfully.
C:\WINDOWS\system32\zgnlkjga.dat moved successfully.
C:\WINDOWS\system32\mgeuyetp.dat moved successfully.
C:\WINDOWS\system32\gcorzrxy.dat moved successfully.
C:\WINDOWS\system32\snnzbzqu.dat moved successfully.
C:\Documents and Settings\maison\Application Data\VirusGarde\Logs moved successfully.
C:\Documents and Settings\maison\Application Data\VirusGarde moved successfully.
C:\WINDOWS\pdoakac.exe moved successfully.
C:\Program Files\Fichiers communs\VirusGarde moved successfully.
C:\WINDOWS\system32\drivers\FMTR.sys.ren moved successfully.
C:\WINDOWS\system32\apmrwkrf.dat moved successfully.
File move failed. C:\WINDOWS\system32\drivers\miqvzwcl.dat scheduled to be moved on reboot.
 
Created on 10/26/2007 06:43:14

tu veux un rapport hijackthis

Lyonnais92 · Answer

Re,

relance d'abord combofix

poste le rapport avec un nouveau rapport Hijackthis.

pancho · Answer

Bonsoir, 
desolé pour le tmps de reponse mais j'ai eu un probleme de live box qui m'empecher de me connecter... je te poste les rapport que tu m'a demandé.

pancho · Answer

re, voici le rapport...combofix ComboFix 07-11-01.1 - maison 2007-11-04 20:14:53.3 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.142 [GMT 1:00] Running from: C:\Documents and Settings\maison\Bureau\ComboFix.exe * Created a new restore point . ((((((((((((((((((((((((((((( Fichiers créés 2007-10-04 to 2007-11-04 )))))))))))))))))))))))))))))))))))) . 2007-11-03 10:13 d-------- C:\WINDOWS\system32\bits 2007-11-03 10:13 d--h----- C:\WINDOWS\$hf_mig$ 2007-10-19 19:12 d-------- C:\Program Files\Navilog1 2007-10-17 05:50 d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier 2007-10-17 05:48 d-------- C:\WINDOWS\Internet Logs 2007-10-16 21:56 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-16 21:45 81,408 --a------ C:\WINDOWS\system32\aadcaad.dll 2007-10-14 20:39 1,908 --a------ C:\WINDOWS\system32 mp.reg 2007-10-14 20:38 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2007-10-14 20:38 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-10-14 20:38 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-10-14 20:38 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-10-14 20:38 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2007-10-14 19:16 d-------- C:\Program Files\Trend Micro 2007-10-14 18:28 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2007-10-14 07:41 17,792 C:\WINDOWS\system32\drivers\miqvzwcl.dat 2007-10-12 18:19 801,144 --a------ C:\WINDOWS\system32\aswBoot.exe 2007-10-12 18:19 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr 2007-10-12 18:19 94,416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2007-10-12 18:19 92,848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2007-10-12 18:19 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2007-10-12 18:19 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2007-10-12 18:19 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2007-10-08 22:24 d-------- C:\Documents and Settings\maison\Contacts 2007-10-06 00:22 d-------- C:\Program Files\Fichiers communs\G DATA 2007-10-06 00:06 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP 2007-10-05 22:10 d-------- C:\backups 2007-10-05 20:40 d-------- C:\Documents and Settings\maison\Application Data\cv=2.4&pn=&pv=&pt=&sn=&sna=&sns=&sne=&snr=&snb=&us=sxmea 2007-10-05 20:35 dr------- C:\Documents and Settings\All Users\Application Data\cv=2.4&pn=&pv=&pt=&sn=&sna=&sns=&sne=&snr=&snb=&us=sxmea 2007-10-05 19:16 d--hs---- C:\UGA6PV 2007-10-04 21:31 d-------- C:\Documents and Settings\maison\Application Data\AVG7 2007-10-04 21:30 d-------- C:\Documents and Settings\LocalService\Application Data\AVG7 2007-10-04 21:30 d-------- C:\Documents and Settings\All Users\Application Data\avg7 . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-04 19:19 --------- d-----w C:\Program Files\Wanadoo 2007-10-30 16:51 2,994 ----a-w C:\Documents and Settings\maison\Application Data\wklnhst.dat 2007-10-18 20:26 --------- d-----w C:\Program Files\DivX 2007-10-17 04:58 7,456 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat 2007-10-17 04:58 2,948 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2007-10-17 04:58 159,776 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2007-10-17 04:58 1,748 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2007-10-17 04:54 --------- d-----w C:\Program Files\Zapu 2007-10-17 04:49 75,932 ----a-w C:\WINDOWS\system32\drivers\klick.dat 2007-10-17 04:49 74,396 ----a-w C:\WINDOWS\system32\drivers\klin.dat 2007-10-12 16:50 --------- d-----w C:\Documents and Settings\maison\Application Data\Lavasoft 2007-10-05 23:24 52,602 ----a-w C:\WINDOWS\system32\interceptor.sys 2007-10-05 23:22 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-10-05 20:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\WinZip . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{91AD9DC2-523A-47E2-A598-6C277F16CC50}] 2007-10-16 21:55 81408 --a------ c:\windows\system32\aadcaad.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 16:07 C:\WINDOWS\system32\HdAShCut.exe] "RTHDCPL"="RTHDCPL.EXE" [2005-07-13 03:37 C:\WINDOWS\RTHDCPL.EXE] "EasyTuneV"="C:\Program Files\Gigabyte\ET5\GUI.exe" [2004-06-14 10:54] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 03:00] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50] "WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 13:49] "WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 15:55] "M1000Mnt"="M1000Rmv.exe" [] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" [2007-09-02 11:25] "VirusGarde"="C:\Program Files\VirusGarde\pgs.exe" [] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 11:06] "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 20:54] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 10:45] "WOOKIT"="C:\PROGRA~1\Wanadoo\Shell.exe" [2004-08-23 13:50] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-11 15:33] "Shareaza"="C:\Program Files\Shareaza\Shareaza.exe" [2007-02-05 03:05] "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55] C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\ Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe [2004-12-14 03:44:06] WinZip Quick Pick.lnk - C:\Program Files\WinZip\WZQKPICK.EXE [2007-06-06 10:10:02] [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoControlPanel"=1 (0x1) "NoWindowsUpdate"=1 (0x1) R0 nvrfhgrt;Microsoft RPC API Helper;C:\WINDOWS\System32\drivers\miqvzwcl.dat S3 gdrv;gdrv;\??\C:\WINDOWS\gdrv.sys S3 M1000Srv;M5603C USB2.0 Camera Driver;C:\WINDOWS\System32\Drivers\M1000KNT.sys . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-04 20:19:12 Windows 5.1.2600 Service Pack 1 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MarkFun_NT] "ImagePath"="\??\C:\Program Files\Gigabyte\ET5\markfun.w32" . Completion time: 2007-11-04 20:20:12 - machine was rebooted C:\ComboFix2.txt ... 2007-10-23 20:58 C:\ComboFix3.txt ... 2007-10-16 22:02 . --- E O F --- et le rapport hijackthis ComboFix 07-11-01.1 - maison 2007-11-04 20:14:53.3 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.142 [GMT 1:00] Running from: C:\Documents and Settings\maison\Bureau\ComboFix.exe * Created a new restore point . ((((((((((((((((((((((((((((( Fichiers créés 2007-10-04 to 2007-11-04 )))))))))))))))))))))))))))))))))))) . 2007-11-03 10:13 d-------- C:\WINDOWS\system32\bits 2007-11-03 10:13 d--h----- C:\WINDOWS\$hf_mig$ 2007-10-19 19:12 d-------- C:\Program Files\Navilog1 2007-10-17 05:50 d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier 2007-10-17 05:48 d-------- C:\WINDOWS\Internet Logs 2007-10-16 21:56 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-16 21:45 81,408 --a------ C:\WINDOWS\system32\aadcaad.dll 2007-10-14 20:39 1,908 --a------ C:\WINDOWS\system32 mp.reg 2007-10-14 20:38 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2007-10-14 20:38 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-10-14 20:38 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-10-14 20:38 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-10-14 20:38 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2007-10-14 19:16 d-------- C:\Program Files\Trend Micro 2007-10-14 18:28 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2007-10-14 07:41 17,792 C:\WINDOWS\system32\drivers\miqvzwcl.dat 2007-10-12 18:19 801,144 --a------ C:\WINDOWS\system32\aswBoot.exe 2007-10-12 18:19 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr 2007-10-12 18:19 94,416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2007-10-12 18:19 92,848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2007-10-12 18:19 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2007-10-12 18:19 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2007-10-12 18:19 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2007-10-08 22:24 d-------- C:\Documents and Settings\maison\Contacts 2007-10-06 00:22 d-------- C:\Program Files\Fichiers communs\G DATA 2007-10-06 00:06 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP 2007-10-05 22:10 d-------- C:\backups 2007-10-05 20:40 d-------- C:\Documents and Settings\maison\Application Data\cv=2.4&pn=&pv=&pt=&sn=&sna=&sns=&sne=&snr=&snb=&us=sxmea 2007-10-05 20:35 dr------- C:\Documents and Settings\All Users\Application Data\cv=2.4&pn=&pv=&pt=&sn=&sna=&sns=&sne=&snr=&snb=&us=sxmea 2007-10-05 19:16 d--hs---- C:\UGA6PV 2007-10-04 21:31 d-------- C:\Documents and Settings\maison\Application Data\AVG7 2007-10-04 21:30 d-------- C:\Documents and Settings\LocalService\Application Data\AVG7 2007-10-04 21:30 d-------- C:\Documents and Settings\All Users\Application Data\avg7 . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-04 19:19 --------- d-----w C:\Program Files\Wanadoo 2007-10-30 16:51 2,994 ----a-w C:\Documents and Settings\maison\Application Data\wklnhst.dat 2007-10-18 20:26 --------- d-----w C:\Program Files\DivX 2007-10-17 04:58 7,456 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat 2007-10-17 04:58 2,948 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2007-10-17 04:58 159,776 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2007-10-17 04:58 1,748 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2007-10-17 04:54 --------- d-----w C:\Program Files\Zapu 2007-10-17 04:49 75,932 ----a-w C:\WINDOWS\system32\drivers\klick.dat 2007-10-17 04:49 74,396 ----a-w C:\WINDOWS\system32\drivers\klin.dat 2007-10-12 16:50 --------- d-----w C:\Documents and Settings\maison\Application Data\Lavasoft 2007-10-05 23:24 52,602 ----a-w C:\WINDOWS\system32\interceptor.sys 2007-10-05 23:22 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-10-05 20:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\WinZip . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{91AD9DC2-523A-47E2-A598-6C277F16CC50}] 2007-10-16 21:55 81408 --a------ c:\windows\system32\aadcaad.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 16:07 C:\WINDOWS\system32\HdAShCut.exe] "RTHDCPL"="RTHDCPL.EXE" [2005-07-13 03:37 C:\WINDOWS\RTHDCPL.EXE] "EasyTuneV"="C:\Program Files\Gigabyte\ET5\GUI.exe" [2004-06-14 10:54] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 03:00] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50] "WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 13:49] "WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 15:55] "M1000Mnt"="M1000Rmv.exe" [] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" [2007-09-02 11:25] "VirusGarde"="C:\Program Files\VirusGarde\pgs.exe" [] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 11:06] "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 20:54] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 10:45] "WOOKIT"="C:\PROGRA~1\Wanadoo\Shell.exe" [2004-08-23 13:50] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-11 15:33] "Shareaza"="C:\Program Files\Shareaza\Shareaza.exe" [2007-02-05 03:05] "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55] C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\ Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe [2004-12-14 03:44:06] WinZip Quick Pick.lnk - C:\Program Files\WinZip\WZQKPICK.EXE [2007-06-06 10:10:02] [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoControlPanel"=1 (0x1) "NoWindowsUpdate"=1 (0x1) R0 nvrfhgrt;Microsoft RPC API Helper;C:\WINDOWS\System32\drivers\miqvzwcl.dat S3 gdrv;gdrv;\??\C:\WINDOWS\gdrv.sys S3 M1000Srv;M5603C USB2.0 Camera Driver;C:\WINDOWS\System32\Drivers\M1000KNT.sys . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-04 20:19:12 Windows 5.1.2600 Service Pack 1 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MarkFun_NT] "ImagePath"="\??\C:\Program Files\Gigabyte\ET5\markfun.w32" . Completion time: 2007-11-04 20:20:12 - machine was rebooted C:\ComboFix2.txt ... 2007-10-23 20:58 C:\ComboFix3.txt ... 2007-10-16 22:02 . --- E O F ---

Lyonnais92 · Answer

Bonjour

pourrais tu scanner avec ton antivirus puis un atispyware ce fichier :

C:\WINDOWS\system32	mp.reg 


S'il est sain, tu l'ouvres avec le bloc-notes et tu le postes dans ta réponse.

pancho · Answer

Bonsoir, desolé mais je ne sais pas comment faire pour scanner ce fichier j'ai avast comme antivirus et zone alarm comme anti spy???

Lyonnais92 · Answer

Re,

il me semble qu'avec un clic droit sur le fichier on te propose de le scanner.

pancho · Answer

bonsoir, j'ai essayé de faire ce que tu ma demandé mais une fenetre s'ouvre mais elle se referme aussitot quand je demande l'analyse avec avast. Et pour l'analyse avec ZA je n'y arrive pas.

Lyonnais92 · Answer

Bonsoir,

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32	mp.reg

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

pancho · Answer

re, voila le rapport de virus totale pour le fichier en question...

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2007.11.8.0 2007.11.07 - 
AntiVir 7.6.0.34 2007.11.07 - 
Authentium 4.93.8 2007.11.07 - 
Avast 4.7.1074.0 2007.11.06 - 
AVG 7.5.0.503 2007.11.07 - 
BitDefender 7.2 2007.11.07 - 
CAT-QuickHeal 9.00 2007.11.07 - 
ClamAV 0.91.2 2007.11.07 - 
DrWeb 4.44.0.09170 2007.11.07 - 
eSafe 7.0.15.0 2007.11.06 - 
eTrust-Vet 31.2.5276 2007.11.07 - 
Ewido 4.0 2007.11.07 - 
FileAdvisor 1 2007.11.07 - 
Fortinet 3.11.0.0 2007.10.19 - 
F-Prot 4.4.2.54 2007.11.07 - 
F-Secure 6.70.13030.0 2007.11.07 - 
Ikarus T3.1.1.12 2007.11.07 - 
Kaspersky 7.0.0.125 2007.11.07 - 
McAfee 5158 2007.11.07 - 
Microsoft 1.3007 2007.11.07 - 
NOD32v2 2644 2007.11.07 - 
Norman 5.80.02 2007.11.06 - 
Panda 9.0.0.4 2007.11.07 - 
Prevx1 V2 2007.11.07 - 
Rising 20.17.22.00 2007.11.07 - 
Sophos 4.23.0 2007.11.07 - 
Sunbelt 2.2.907.0 2007.11.07 - 
Symantec 10 2007.11.07 - 
TheHacker 6.2.9.118 2007.11.06 - 
VBA32 3.12.2.4 2007.11.06 - 
VirusBuster 4.3.26:9 2007.11.07 - 
Webwasher-Gateway 6.0.1 2007.11.07 - 
Information additionnelle 
File size: 1908 bytes 
MD5: cea6539908773ffd8ae7322959bcf665 
SHA1: ff3381df7cd5a457858a8c1d9c9b82fd5782140b 
packers: Unicode 
packers: Unicode 


Bonne nuit a demain. Merci

Lyonnais92 · Answer

Re,

alors ouvre le avec le bloc notes et poste le contenu ici.

pancho · Answer

Bonsoir, desolé mais je n'ai pas compris ce que je devais faire dans ton dernier post...

Lyonnais92 · Answer

Bonjour,

excuse, j'ai été trop rapide;

Ouvre C:\WINDOWS\system32	mp.reg  avec le Bloc-notes et copie/colle le contenu dans ta réponse.

Julien06 · Answer

salut ça fait un baille je sais desolé.
je te met un log de hijackthis pour une remise a jour de ma situation 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:33:29, on 06/12/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {91AD9DC2-523A-47E2-A598-6C277F16CC50} - c:\windows\system32\aadcaad.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [EasyTuneV] C:\Program Files\Gigabyte\ET5\GUI.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [M1000Mnt] M1000Rmv.exe /StartStillMnt
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [UpdateWin] C:\WINDOWS\System32\1033v.exe
O4 - HKLM\..\RunServices: [UpdateWin] C:\WINDOWS\System32\1033v.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunServices: [UpdateWin] C:\WINDOWS\System32\1033v.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/02084dfa22d225efae05/netzip/RdxIE601_fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

Julien06 · Answer

log hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:10:29, on 07/12/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Gigabyte\ET5\GUI.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {91AD9DC2-523A-47E2-A598-6C277F16CC50} - c:\windows\system32\aadcaad.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [EasyTuneV] C:\Program Files\Gigabyte\ET5\GUI.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [M1000Mnt] M1000Rmv.exe /StartStillMnt
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [UpdateWin] C:\WINDOWS\System32\1033v.exe
O4 - HKLM\..\RunServices: [UpdateWin] C:\WINDOWS\System32\1033v.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [UpdateWin] C:\WINDOWS\System32\1033v.exe
O4 - HKCU\..\RunServices: [UpdateWin] C:\WINDOWS\System32\1033v.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/02084dfa22d225efae05/netzip/RdxIE601_fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

Lyonnais92 · Answer

Bonsoir,

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\System32\1033v.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Julien06 · Answer

re, 
LOrsque je met le fichier et que je click sur send file, ça charge 2 sec et la fenetre devient blanche avec ecrit 

0 bytes size received / Se ha recibido un archivo vacio

Lyonnais92 · Answer

Re,

ouvre l'explorateur windows. Cherches le fichier.

Clic droit et propriétés;

Quelle taille ?

Julien06 · Answer

re, desolé comment j'ouvre l'explorateur windows ?

Lyonnais92 · Answer

Re,

clic droit sur démarrer,

explorer

Julien06 · Answer

re, donc je vais dans windows system32 mais je ne trouve que le dossier 1033 et non 1033v c'est normal?

Dans le dossier 1033 il a un fichier dwintl.dll et sa taille est de 56ko

Lyonnais92 · Answer

Re,

ce n'est pas un dossier mais un fichier.

fais ça avant :

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
========================================

Julien06 · Answer

re, trop fort.
Sa taille est de 44.0 Ko

Lyonnais92 · Answer

Re,

essaye avec celui là :

Vas sur le site https://virusscan.jotti.org/
- Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier : xxxxxxxxx
- Clic sur submit toujours en haut à droite
- Le scan va se lancer, ça va prendre un petit instant
- En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici.
Aide : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId662799 

Je verrai ça au jour demain

Julien06 · Answer

re, 
Je suis aller sur virusscan et quand je fais les manip ça me dit : The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file
voila a demain et encore merci de t'occuper de mon cas.

Lyonnais92 · Answer

Bonjour,

fais un scan complet de ton ordi avec antivir.

Poste le rapport.

supprime le combofix qui est sur ton bureau.

télécharge combofix (par sUBs)ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


et enregistre le sur le bureau.

2 double-clique sur combofix.exe et suis les instructions

3 à la fin, il va produire un rapport C:\ComboFix.txt

4 copie/colle ce rapport dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Julien06 · Answer

re,ok je vais faire ce que tu m'a demandé.

Julien06 · Answer

re, voici le rapport de antivir... AntiVir PersonalEdition Classic Report file date: vendredi 7 décembre 2007 12:12 Scanning for 963056 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows XP Windows version: (Service Pack 1) [5.1.2600] Username: SYSTEM Computer name: MAISON-6ZNO7WTT Version information: BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29 AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51 LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47 LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15 ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 14:26:55 ANTIVIR2.VDF : 7.0.1.30 1575424 Bytes 30/11/2007 20:16:38 ANTIVIR3.VDF : 7.0.1.56 105984 Bytes 07/12/2007 09:41:17 AVEWIN32.DLL : 7.6.0.34 3125760 Bytes 03/12/2007 20:16:38 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26 AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17 AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24 AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 08:46:00 AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06 AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18 NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13 RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37 SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21 Configuration settings for the scan: Jobname..........................: Complete system scan Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: off Scan boot sector.................: on Boot sectors.....................: C:, Scan memory......................: on Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Start of the scan: vendredi 7 décembre 2007 12:12 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'avcenter.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'a2service.exe' - '1' Module(s) have been scanned Scan process 'IEXPLORE.EXE' - '1' Module(s) have been scanned Scan process 'wuauclt.exe' - '1' Module(s) have been scanned Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'FTRTSVC.exe' - '1' Module(s) have been scanned Scan process 'guard.exe' - '1' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'alg.exe' - '1' Module(s) have been scanned Scan process 'aawservice.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'TaskBarIcon.exe' - '1' Module(s) have been scanned Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned Scan process 'GUI.exe' - '1' Module(s) have been scanned Scan process 'RTHDCPL.EXE' - '1' Module(s) have been scanned Scan process 'realsched.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 34 processes with 34 modules were scanned Start scanning boot sectors: Boot sector 'C:\' [NOTE] No virus was found! Starting to scan the registry. C:\WINDOWS\system32\1033v.exe [WARNING] The file could not be opened! C:\WINDOWS\system32\1033v.exe [WARNING] The file could not be opened! The registry was scanned ( '25' files ). Starting the file scan: Begin scan in 'C:\' C:\pagefile.sys [WARNING] The file could not be opened! C:\!KillBox\aadcaad.dll [DETECTION] Is the Trojan horse TR/Trash.Gen [INFO] A backup was created as '47bd2b1b.qua' ( QUARANTINE ) [INFO] The file was deleted! C:\!KillBox\aadcaad.dll.bak [DETECTION] Is the Trojan horse TR/Crypt.Morphine.Gen [INFO] A backup was created as '4631dc84.qua' ( QUARANTINE ) [INFO] The file was deleted! C:\!KillBox\apmrwkrf.dll.bak [DETECTION] Is the Trojan horse TR/Delf.103242 [INFO] A backup was created as '47c62b2a.qua' ( QUARANTINE ) [INFO] The file was deleted! C:\!KillBox\zgnlkjga.dll.bak [DETECTION] Is the Trojan horse TR/Crypt.Morphine.Gen [INFO] A backup was created as '47c72b22.qua' ( QUARANTINE ) [INFO] The file was deleted! C:\System Volume Information\_restore{7057E3FF-F4E8-4421-856D-A22F39080A4B}\RP2\A0000065.dll [DETECTION] Is the Trojan horse TR/Trash.Gen [INFO] A backup was created as '47892c7a.qua' ( QUARANTINE ) [INFO] The file was deleted! C:\WINDOWS\system32\1033v.exe [WARNING] The file could not be opened! C:\WINDOWS\system32\aadcaad.dll [DETECTION] Is the Trojan horse TR/Trash.Gen [INFO] A backup was created as '47bd2d6a.qua' ( QUARANTINE ) [WARNING] The file could not be deleted! End of the scan: vendredi 7 décembre 2007 12:24 Used time: 11:41 min The scan has been done completely. 2520 Scanning directories 110335 Files were scanned 6 viruses and/or unwanted programs were found 0 Files were classified as suspicious: 5 files were deleted 0 files were repaired 6 files were moved to quarantine 0 files were renamed 4 Files cannot be scanned 110329 Files not concerned 716 Archives were scanned 5 Warnings 0 Notes et enfin voici le rapport de combofix ComboFix 07-12-07.3 - maison 2007-12-07 12:25:41.7 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.224 [GMT 1:00] Running from: C:\Documents and Settings\maison\Bureau\ComboFix.exe . ((((((((((((((((((((((((((((( Fichiers créés 2007-11-07 to 2007-12-07 )))))))))))))))))))))))))))))))))))) . 2007-12-07 11:58 . 2007-12-07 11:58 d-------- C:\WINDOWS\AU_Temp 2007-12-07 11:57 . 2007-12-07 11:57 d-------- C:\WINDOWS eport 2007-12-07 11:57 . 2007-12-07 11:56 39,917,509 --a------ C:\WINDOWS\LPT$VPN.869 2007-12-07 11:11 . 2007-12-07 11:33 d-------- C:\Program Files\a-squared Free 2007-12-07 01:22 . 2007-12-07 01:22 d--h----- C:\WINDOWS\PIF 2007-12-07 00:48 . 2007-12-07 00:48 d-------- C:\WINDOWS\ERUNT 2007-12-06 23:17 . 2007-12-06 23:17 1,678 --a------ C:\WINDOWS\system32 mp.reg 2007-12-06 22:15 . 2007-12-06 22:18 325 --a------ C:\WINDOWS\KillProcess.INI 2007-12-06 21:35 . 2007-12-06 21:35 d-------- C:\Program Files\Kill Process 2007-12-06 18:30 . 2007-12-02 18:48 1,500 --a------ C:\WINDOWS\system32\Copie de tmp.reg 2007-12-06 17:39 . 2007-12-06 18:06 d-------- C:\Program Files\a-squared Anti-Malware 2007-12-06 16:50 . 2007-12-07 11:38 d-------- C:\WINDOWS\BDOSCAN8 2007-12-06 16:14 . 2007-12-06 18:41 d-------- C:\Program Files\Yahoo! 2007-12-06 16:14 . 2007-12-06 16:14 d-------- C:\Program Files\CCleaner 2007-12-06 11:16 . 2007-12-06 11:16 d-------- C:\Program Files\Lavasoft 2007-12-06 11:16 . 2007-12-06 11:16 d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard 2007-12-06 11:16 . 2007-12-06 11:16 d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft 2007-12-02 23:07 . 2007-12-02 23:07 d-------- C:\VundoFix Backups 2007-12-02 21:15 . 2007-12-02 21:15 d-------- C:\Program Files\Avira 2007-12-02 21:15 . 2007-12-02 21:15 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2007-12-02 20:04 . 2007-12-02 20:04 d-------- C:\Documents and Settings\maison\Application Data\Grisoft 2007-12-02 20:04 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-12-02 20:01 . 2007-12-02 20:24 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2007-12-02 19:22 . 2007-12-02 19:25 d-------- C:\Program Files\RogueRemover FREE 2007-12-01 11:17 . 2007-12-01 11:17 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe 2007-11-30 14:40 . 2007-11-30 14:39 45,056 -r-hs---- C:\WINDOWS\system32\1033v.exe 2007-11-30 14:40 . 2007-11-30 14:40 144 --ahs---- C:\WINDOWS\system32\1549314879.dat . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-07 10:58 86,094 ----a-w C:\WINDOWS\BPMNT.dll 2007-12-07 10:58 1,163,344 ----a-w C:\WINDOWS\vsapi32.dll 2007-12-07 10:56 71,749 ----a-w C:\WINDOWS\hcextoutput.dll 2007-12-07 10:56 69,689 ----a-w C:\WINDOWS\UNZIP.DLL 2007-12-07 10:56 507,904 ----a-w C:\WINDOWS\TMUPDATE.DLL 2007-12-07 10:56 286,720 ----a-w C:\WINDOWS\PATCH.EXE 2007-12-07 10:56 267,845 ----a-w C:\WINDOWS sc.exe 2007-12-07 10:07 --------- d-----w C:\Program Files\Wanadoo 2007-12-06 20:59 3,310 ----a-w C:\Documents and Settings\maison\Application Data\wklnhst.dat 2007-12-06 17:05 --------- d-----w C:\Program Files\Navilog1 2007-12-02 23:07 --------- d-----w C:\Program Files\eMule 2007-12-02 18:38 --------- d-----w C:\Documents and Settings\All Users\Application Data\WinZip 2007-10-25 09:26 53,248 ----a-w C:\WINDOWS\bdoscandel.exe 2007-10-18 20:26 --------- d-----w C:\Program Files\DivX 2007-10-17 04:54 --------- d-----w C:\Program Files\Zapu 2007-10-17 04:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\MailFrontier 2007-10-16 20:55 81,408 ----a-w C:\WINDOWS\system32\aadcaad.dll 2007-10-14 18:16 --------- d-----w C:\Program Files\Trend Micro 2007-10-14 17:28 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft 2007-10-14 06:41 17,792 ----a-w C:\WINDOWS\system32\drivers\miqvzwcl.dat 2007-10-12 17:07 --------- d-----w C:\Program Files\Fichiers communs\G DATA 2007-10-12 16:50 --------- d-----w C:\Documents and Settings\maison\Application Data\Lavasoft 2007-10-05 23:24 52,602 ----a-w C:\WINDOWS\system32\interceptor.sys 2007-10-03 22:36 25,600 ----a-w C:\WINDOWS\system32\WS2Fix.exe . ((((((((((((((((((((((((((((( snapshot_2007-12-07_11.36.49,75 ))))))))))))))))))))))))))))))))))))))))) . + 2005-11-09 19:05:12 86,094 ----a-w C:\WINDOWS\AU_Temp\2\4\BPMNT.dll + 2007-06-12 17:49:28 1,163,344 ----a-w C:\WINDOWS\AU_Temp\2\4\vsapi32.dll + 1999-07-23 09:53:20 129,536 ----a-w C:\WINDOWS\AuHCcup1.dll - 2007-10-25 09:26:48 118,784 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll + 2007-12-07 10:38:49 77,824 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll + 2002-10-15 13:29:40 77,824 ----a-w C:\WINDOWS\loadhttp.dll + 2001-12-14 12:34:46 164,864 ----a-w C:\WINDOWS\patchw32.dll + 2005-11-02 17:07:12 99,328 ----a-w C:\WINDOWS untsckl.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{91AD9DC2-523A-47E2-A598-6C277F16CC50}] 2007-10-16 21:55 81408 --a------ c:\windows\system32\aadcaad.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-11 15:33] "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55] "UpdateWin"="C:\WINDOWS\System32\1033v.exe" [2007-11-30 14:39] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "UpdateWin"="C:\WINDOWS\System32\1033v.exe" [2007-11-30 14:39] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-03 21:16] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" [2007-09-02 11:25] "High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 16:07 C:\WINDOWS\system32\HdAShCut.exe] "RTHDCPL"="RTHDCPL.EXE" [2005-07-13 03:37 C:\WINDOWS\RTHDCPL.EXE] "EasyTuneV"="C:\Program Files\Gigabyte\ET5\GUI.exe" [2004-06-14 10:54] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50] "WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 13:49] "WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 15:55] "M1000Mnt"="M1000Rmv.exe" [] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [] "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [] "UpdateWin"="C:\WINDOWS\System32\1033v.exe" [2007-11-30 14:39] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "UpdateWin"="C:\WINDOWS\System32\1033v.exe" [2007-11-30 14:39] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 10:45] [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoWindowsUpdate"= 1 (0x1) [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] UpdateWin REG_SZ C:\WINDOWS\System32\1033v.exe R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys R0 nvrfhgrt;Microsoft RPC API Helper;C:\WINDOWS\System32\drivers\miqvzwcl.dat R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys R3 MarkFun_NT;MarkFun_NT;\??\C:\Program Files\Gigabyte\ET5\markfun.w32 S3 gdrv;gdrv;\??\C:\WINDOWS\gdrv.sys S3 M1000Srv;M5603C USB2.0 Camera Driver;C:\WINDOWS\System32\Drivers\M1000KNT.sys *Newly Created Service* - A2FREE . ************************************************************************** catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-07 12:26:45 Windows 5.1.2600 Service Pack 1 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-12-07 12:27:18 C:\ComboFix2.txt ... 2007-12-07 11:37 C:\ComboFix3.txt ... 2007-11-04 20:20 . --- E O F ---

Julien06 · Answer

re, que veux tu que je fasse maintenant... le virus est tjs la.

jlpjlp · Answer

slt
lyonnais 92

pour voir tout ce qui a été fait avec
 Julien06

regarde là:

http://www.commentcamarche.net/forum/affich 4187223 systeme infecte?page=4#0

Lyonnais92 · Answer

Bonsoir,

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\WS2Fix.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

jlpjlp · Answer

slt,
 Lyonnais92,

juste pour faire remarquer que tu fais deux posts

 pancho
et
Julien06

pancho13 · Answer

oui j'avais eu cette discute avec lyonnais92 ya un moment deja

Julien06 · Answer

voila le rapport de virus totale 

Antivirus Version Last Update Result 
AhnLab-V3 - - - 
AntiVir - - - 
Authentium - - - 
Avast - - - 
AVG - - - 
BitDefender - - - 
CAT-QuickHeal - - - 
ClamAV - - - 
DrWeb - - - 
eSafe - - suspicious Trojan/Worm 
eTrust-Vet - - - 
Ewido - - - 
FileAdvisor - - - 
Fortinet - - - 
F-Prot - - - 
F-Secure - - - 
Ikarus - - - 
Kaspersky - - - 
McAfee - - - 
Microsoft - - - 
NOD32v2 - - - 
Norman - - - 
Panda - - - 
Prevx1 - - - 
Rising - - - 
Sophos - - - 
Sunbelt - - - 
Symantec - - - 
TheHacker - - - 
VBA32 - - - 
VirusBuster - - - 
Webwasher-Gateway - - - 
Additional information 
MD5: 49b5595b1824bea6d850e0ed08b53e43

Julien06 · Answer

deslé a toi aussi je ne savais pas que je devais resté sur le meme topic... g!rl m'a dit de garder ce topic la avec toi en esperant que tu veuille tjs m'aider ;-)

Lyonnais92 · Answer

re,

on va continuer.

lais c'est très désagréable pour nous.

je crois que vious ne vous rendez pas compte du temps qu'il peut y avoir sur une manip.

Bien sur, il y a des moments où on est sur des évidences et des procédures bien connues.

mais pour ton topic, on est trois à avoir séché sur le fichier qui ne veut pas se supprimer.

Et la, je peux te dire qu'il faut sacrément chercher.

Lyonnais92 · Answer

Re,

peut être que la syntèse des infos va nous faire gagner du temps.

on va essayer comme ça :

Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Driver::
C:\WINDOWS\system32\drivers\miqvzwcl.dat
C:\WINDOWS\system32\aadcaad.dll 
C:\WINDOWS\system32\1033v.exe

catch::
C:\WINDOWS\system32\drivers\miqvzwcl.dat
C:\WINDOWS\system32\aadcaad.dll 
C:\WINDOWS\system32\1033v.exe


File::
C:\WINDOWS\system32\drivers\miqvzwcl.dat
C:\WINDOWS\system32\aadcaad.dll 
C:\WINDOWS\system32\1033v.exe

Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt 

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

g!rly · Answer

salut a vous deux ;-)

pour suivre...

moe · Answer

Salut Pancho, Lyonnais

Juste pour suivre ce topic très intéressant :-)

@+

ps:
Lyonnais tu es sur pour le script ?

Lyonnais92 · Answer

Bonjour,

je suis sûr de la syntaxe et du mode d'emploi.

J'ai repris d'ici qui me parait fiable (le site, l'aideur et le résultat) :

https://forums.majorgeeks.com/threads/help-trojan-win32-bho-yr.144062/ post 12

Il manque peut être la suppression d'une clé de registre (j(aurais mierux fait d'aller dormir et de travailler aprèsd une nuit de repos).

Il est possible que certaines instructions soient inutiles, en particulier sur la partie drivers. Je suis pratiquement sûr que c'est nécessaire  pour C:\WINDOWS\system32\drivers\miqvzwcl.dat , moins pour les 2 autres. 

Un des intérêts du topic est bien d'avoir un BHO protégé par un drivers \drivers\xxxxx.dat.

La référence du post de g!rly donne une procédure (de FillPCA) qui fonctionne. Son "inconvénient" est de mobiliser 2 outils que l'on trouve rarement dans les désinfections françaises. Si le script Combofix est efficace, on a une procédure plus simple et qui ne devrait pas nécessiter d'outils suplémentaires (je suis presque sur que combofix sera utilisé dans ces posts).



_-

@+
N'acceptez jamais une désinfection par mp.

g!rly · Answer

salut lyonnais, moe

moe

je suis du meme avis que toi :  'Driver' dans CFscript ne devait comporter seulement que le nom du driver...

Driver::
nvrfhgrt 

File::
C:\WINDOWS\System32\drivers\miqvzwcl.dat 

quand aux cles de registre il faut imperativement les inclure au script...

lyonnais92 je t´ai envoyé un mp (pour ne pas ajouter de confusion ici ) avec mon script, dis moi ce que tu en pensse

@+

Lyonnais92 · Answer

Bonsoir,

j'espère que c'est toi qui ne va pas laisser tomber lol.

Après discussion entre nous, je vais modifier ce qu'il y a à  faire en reprenant la proposition de g!irly

Au lieu du post 105, tu fais ça :

Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Driver::
nvrfhgrt

File::
C:\WINDOWS\System32\drivers\miqvzwcl.dat
C:\WINDOWS\system32\aadcaad.dll
C:\WINDOWS\system32\1033v.exe
C:\WINDOWS\system32\M1000Rmv.exe

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{91AD9DC2-523A-47E2-A598-6C277F16CC50}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdateWin"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"UpdateWin"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdateWin"=-
"M1000Mnt"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"UpdateWin"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoWindowsUpdate"=0
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00 

Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

 La manip initiale n'aurait pas causé de problèmes à ton ordi. Elle aurait été moins efficace.

Julien06 · Answer

Bonjour lyonnais 92, T'inquiete pas je ne lacherai pas l'affaire avant que mon pc soit clair comme de l'eau de roche...lol SInon j'ai fait tout ce que tu m'as demandé avec combofix... et voila le rapport... ComboFix 07-12-07.3 - maison 2007-12-09 13:13:12.12 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.246 [GMT 1:00] Running from: C:\Documents and Settings\maison\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\maison\Bureau\CFscript.txt * Created a new restore point FILE C:\WINDOWS\system32\1033v.exe C:\WINDOWS\system32\aadcaad.dll C:\WINDOWS\System32\drivers\miqvzwcl.dat C:\WINDOWS\system32\M1000Rmv.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\aadcaad.dll C:\WINDOWS\System32\drivers\miqvzwcl.dat . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_NVRFHGRT ------- vrfhgrt ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-09 to 2007-12-09 )))))))))))))))))))))))))))))))))))) . 2007-12-07 22:24 . 2007-12-07 22:24 d-------- C:\WINDOWS\AU_Temp 2007-12-07 22:11 . 2007-12-07 22:11 d-------- C:\Program Files\Panda Security 2007-12-07 11:57 . 2007-12-07 11:57 d-------- C:\WINDOWS eport 2007-12-07 11:57 . 2007-12-07 11:56 39,917,509 --a------ C:\WINDOWS\LPT$VPN.869 2007-12-07 11:11 . 2007-12-07 11:33 d-------- C:\Program Files\a-squared Free 2007-12-07 01:22 . 2007-12-07 01:22 d--h----- C:\WINDOWS\PIF 2007-12-07 00:48 . 2007-12-07 00:48 d-------- C:\WINDOWS\ERUNT 2007-12-06 18:30 . 2007-12-02 18:48 1,500 --a------ C:\WINDOWS\system32\Copie de tmp.reg 2007-12-06 17:39 . 2007-12-06 18:06 d-------- C:\Program Files\a-squared Anti-Malware 2007-12-06 16:50 . 2007-12-07 20:59 d-------- C:\WINDOWS\BDOSCAN8 2007-12-06 16:14 . 2007-12-06 16:14 d-------- C:\Program Files\CCleaner 2007-12-06 11:16 . 2007-12-06 11:16 d-------- C:\Program Files\Lavasoft 2007-12-06 11:16 . 2007-12-06 11:16 d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard 2007-12-06 11:16 . 2007-12-06 11:16 d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft 2007-12-02 23:07 . 2007-12-02 23:07 d-------- C:\VundoFix Backups 2007-12-02 21:15 . 2007-12-02 21:15 d-------- C:\Program Files\Avira 2007-12-02 21:15 . 2007-12-02 21:15 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2007-12-02 20:04 . 2007-12-02 20:04 d-------- C:\Documents and Settings\maison\Application Data\Grisoft 2007-12-02 20:04 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-12-02 20:01 . 2007-12-02 20:24 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2007-12-01 11:17 . 2007-12-01 11:17 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe 2007-11-30 14:40 . 2007-11-30 14:40 144 --ahs---- C:\WINDOWS\system32\1549314879.dat . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-09 12:15 --------- d-----w C:\Program Files\Wanadoo 2007-12-07 21:24 86,094 ----a-w C:\WINDOWS\BPMNT.dll 2007-12-07 21:24 1,163,344 ----a-w C:\WINDOWS\vsapi32.dll 2007-12-07 13:44 --------- d-----w C:\Program Files\Shareaza 2007-12-07 10:56 71,749 ----a-w C:\WINDOWS\hcextoutput.dll 2007-12-07 10:56 69,689 ----a-w C:\WINDOWS\UNZIP.DLL 2007-12-07 10:56 507,904 ----a-w C:\WINDOWS\TMUPDATE.DLL 2007-12-07 10:56 286,720 ----a-w C:\WINDOWS\PATCH.EXE 2007-12-07 10:56 267,845 ----a-w C:\WINDOWS sc.exe 2007-12-06 20:59 3,310 ----a-w C:\Documents and Settings\maison\Application Data\wklnhst.dat 2007-12-06 17:05 --------- d-----w C:\Program Files\Navilog1 2007-12-02 18:38 --------- d-----w C:\Documents and Settings\All Users\Application Data\WinZip 2007-10-25 09:26 53,248 ----a-w C:\WINDOWS\bdoscandel.exe 2007-10-17 04:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\MailFrontier 2007-10-14 18:16 --------- d-----w C:\Program Files\Trend Micro 2007-10-14 17:28 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft 2007-10-12 17:07 --------- d-----w C:\Program Files\Fichiers communs\G DATA 2007-10-12 16:50 --------- d-----w C:\Documents and Settings\maison\Application Data\Lavasoft . ((((((((((((((((((((((((((((( snapshot_2007-12-07_11.36.49,75 ))))))))))))))))))))))))))))))))))))))))) . + 2005-11-09 19:05:12 86,094 ----a-w C:\WINDOWS\AU_Temp\2\4\BPMNT.dll + 2007-06-12 17:49:28 1,163,344 ----a-w C:\WINDOWS\AU_Temp\2\4\vsapi32.dll + 1999-07-23 09:53:20 129,536 ----a-w C:\WINDOWS\AuHCcup1.dll - 2007-10-25 09:26:48 118,784 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll + 2007-12-07 10:38:49 77,824 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll + 2007-09-11 12:49:24 12,592 ----a-w C:\WINDOWS\Downloaded Program Files\LibComm.dll + 2007-09-11 12:49:28 38,280 ----a-w C:\WINDOWS\Downloaded Program Files\NanoInst.dll + 2007-09-11 12:49:30 43,824 ----a-w C:\WINDOWS\Downloaded Program Files\PSComm.dll + 2007-09-11 12:49:34 100,656 ----a-w C:\WINDOWS\Downloaded Program Files\PSNAdbrk.dll + 2007-03-13 09:57:10 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE + 2002-10-15 13:29:40 77,824 ----a-w C:\WINDOWS\loadhttp.dll + 2001-12-14 12:34:46 164,864 ----a-w C:\WINDOWS\patchw32.dll + 2005-11-02 17:07:12 99,328 ----a-w C:\WINDOWS untsckl.exe + 2007-10-11 13:12:48 1,468,968 ------w C:\WINDOWS\system32\LegitCheckControl.dll - 2005-10-12 23:15:25 15,072 ------w C:\WINDOWS\system32\spmsg.dll + 2007-10-08 13:46:18 14,640 ------w C:\WINDOWS\system32\spmsg.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-11 15:33] "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-03 21:16] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" [2007-09-02 11:25] "High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 16:07 C:\WINDOWS\system32\HdAShCut.exe] "RTHDCPL"="RTHDCPL.EXE" [2005-07-13 03:37 C:\WINDOWS\RTHDCPL.EXE] "EasyTuneV"="C:\Program Files\Gigabyte\ET5\GUI.exe" [2004-06-14 10:54] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50] "WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 13:49] "WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 15:55] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 10:45] [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoWindowsUpdate"= 1 (0x1) [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] UpdateWin REG_SZ C:\WINDOWS\System32\1033v.exe R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys S3 gdrv;gdrv;\??\C:\WINDOWS\gdrv.sys S3 M1000Srv;M5603C USB2.0 Camera Driver;C:\WINDOWS\System32\Drivers\M1000KNT.sys . ************************************************************************** catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-09 13:15:55 Windows 5.1.2600 Service Pack 1 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MarkFun_NT] "ImagePath"="\??\C:\Program Files\Gigabyte\ET5\markfun.w32" . Completion time: 2007-12-09 13:16:33 - machine was rebooted C:\ComboFix2.txt ... 2007-12-07 22:51 C:\ComboFix3.txt ... 2007-12-07 22:34 . --- E O F ---

Julien06 · Answer

et le rapport hijackthis... je crois qu'il y a eu du changement ?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:42:50, on 09/12/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [EasyTuneV] C:\Program Files\Gigabyte\ET5\GUI.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/02084dfa22d225efae05/netzip/RdxIE601_fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

Lyonnais92 · Answer

Bonjour,

oui, il y a eu du changement.

Tu peux remercier g!rly et mOe;

L'urgence c'est d'installer un parefeu.

    Tu as le choix entre ces (au moins) deux possibilités :

    Zone Alarm Tuto et lien de téléchargement ici :
    https://www.malekal.com/tutoriel-zonealarm-firewall/

    Kerio Tuto et lien de téléchargement ici :
    http://www.malekal.com/kerio_firewall.php

    Il y en a d'autres que tu peux trouver en ouvrant ce lien :
    http://www.malekal.com/menu_tutorials_logiciels.php

    Il faut que tu désactives le parefeu de Windows (panneau de configuration, parefeu de Windows) après le téléchargement et avant l'installation (déconnecte toi du Net à ce moment là).

La 2ème chose à faire (si ton ordi est stable = pas de plantage) est de mettre à jour Windows (installation du SP2).

Si tu as un souci avec les mises à jour de Windows :

ouvre ce lien
http://telechargement.zebulon.fr/zeb-restore.html

télécharge zeb restore et exécute au moins 

Windows Update : rétablit la fonction Windows Update
- Policies : remet en place des éléments désactivés par "Policies"
- Réinitialiser Fichier Hosts : réinitialise le fichier Hosts

Pour la mise à jour de Windows et le SP2 : démarrer, aide et support, Maintenez votre ordinateur à jour avec Windows Update  et tu cherches le téléchargement et l'instalaltion du SP2.

Tu remets un rapport Hijackthis quand c'est fait.

jlpjlp · Answer

slt,

bravo lyonnais92
g!rly et mOe



très beau boulot!

Julien06 · Answer

re merci a tous.
Comment je fais pour le pare feu windows?? dsl

jlpjlp · Answer

pour desactiver le parefeu de windows si tu as le sp1

http://www.sebsite.org/article.php3?id_article=92

Lyonnais92 · Answer

Re,

choisis Zone Alarm (qui désactive automatiquement le parefeu de Windows).

On verra après avec le SP2 (qui installe une icône permettant la gestion des parefeus dans le panneau de configuration)..

Julien06 · Answer

re, 
ok j'ai choisi ZA et je l'ai installé et redemarrer mon PC...
Par curiosité je suis aller dans le panneau de config mais mon pare feu n'etait pas activé donc pas besoin de le desactiver..;-)

Julien06 · Answer

re, j'ai telechargé zeb-restore et arrivé au menu il m'ecrit l'info sur le menu du logiciel mais rien a coté des cases a cocher que dois je faire.

Ps : Je dois m'absenter pour 2 ou 3h alors si je rep pas c'est normal. Merci a plus.

Lyonnais92 · Answer

Re,

tu veux dire que tu as 3 colonnes de case blanche et pas de légende à droite ?

Bizarre.

Coche dans la colonne la plus à droite les 3 cases les plus hautes (sur les 5).

Puis clique sur " restaurer" (au milieu le plus en bas).

Quand tu passes ta souris sur la page, il n'y a pas du texte qui apparait ?

Julien06 · Answer

re, oui c'est 3 colonnes de 5 cases et la case restaurer en bas au milieu.
Quand je passe avec la souris non rien ne s'inscrit.Il ya slt le menu.
j'ai coché les 3 cases et il ya ecrit les element ont bien eté restaures.
Merci
PS : Antivir a detecté ceci : Virus or unwanted program 'DR/Delphi.Gen [DR/Delphi.Gen]'
detected in file 'C:\System Volume Information\_restore{7057E3FF-F4E8-4421-856D-A22F39080A4B}\RP2\A0000139.exe.
Action performed: Delete file

Lyonnais92 · Answer

Re,

System Volume Information\_restore c'est la restauration système. Tant que tu ne restaures pas, aucvun souci.

Installe le SP2.

Julien06 · Answer

re, comment j'installe le SP2 ?

Lyonnais92 · Answer

Re,

Pour la mise à jour de Windows et le SP2 : démarrer, aide et support, Maintenez votre ordinateur à jour avec Windows Update et tu cherches le téléchargement et l'installation du SP2.

Tu peux aussi ouvrir directement ce lien :

https://support.microsoft.com/en-us/windows/windows-xp-support-has-ended-47b944b8-f4d3-82f2-9acc-21c79ee6ef5e

Tu remets un rapport Hijackthis quand c'est fait.

Julien06 · Answer

re,
Desolé mais quand je me met sur le site de microsoft windows update et que je suis la demarche pour mettre XP a jour la page m'affiche : 

Cette copie de Windows n'a pas pu être validée.
La clé de produit installée sur cet ordinateur est une clé de licence en volume (VLK) qui a été bloquée

PS : pour info j'ai recup ce pc au boulot de mon beau pere quand il ont refait a neuf leur matos informatique... donc je peux rien de te dire sur ce PC a part mon utilisation.

Lyonnais92 · Answer

Re,

alors je doute de ce que l'on va pouvoir faire.

Ouvre ce lien :

https://www.01net.com/telecharger/windows/Utilitaire/dll_librairies/fiches/29989.html

clique sur télécharger et suis les instructions.

refuse de regarder les pubs en attendant, cela risque de masquer la fenêtre.

Tiens moi au courant.

Julien06 · Answer

re, j'ai telechargé ce que tu m'as dis. Il ya un assistant d'installation... il me demande de tout fermer alors je te tiens au courant.

Julien06 · Answer

re, 
je crois que l'installation s'est bien passé que veux tu que j'fasse?
Tu me postera ce qu'il faut que je fasse mais moi je plie ss la fatigue dsl.
a demain bonne nuit.
Merci

Lyonnais92 · Answer

Bonjour,

tu remets un rapport Hijackthis.

Julien06 · Answer

bonjour, desolé mais je n'etais pas chez moi ces derniers temps...
Voila le rapport de hijackthis.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:55:55, on 12/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Gigabyte\ET5\GUI.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [EasyTuneV] C:\Program Files\Gigabyte\ET5\GUI.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/02084dfa22d225efae05/netzip/RdxIE601_fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Julien06 · Answer

re, je voulais juste rajouter que au bout d'un certain temps mon pc n'arive plus a ce connecté a internet mais arrive a telecharger c'est bizarre non ?

Lyonnais92 · Answer

Bonjour,

sur ce dernier point, ça ne viendrait pas de la qualité de la connection (vitesse de transmission et force du signal) ?

Pour le premier point, tu n'as aucune pièce justificative de l'achat originel du PC et du Windows ? Tu ne sais rien du tout sur le sujet (achat isolé ou achat de plusieurs à la fois, existence d'un réseau, ...). C'est une récup, tu n'as pas de vente de la société à toi ?

Julien06 · Answer

re,
non je n'ai aucun "papier" pour ce PC, c'est un sans papier lol. Par contre dans le meme domicile il y a un deuxieme pc (portable a mon beau pere) avec Xp et tout les papiers concernant l'acaht d' XP. Je peux lui prendre ces numero de serie a lui ?

Lyonnais92 · Answer

Re,

ça m'étonnerait.

D'abord il faudrait que cet ordi soit "désaffecté" (un licence vaut pour 1 ordi, pas pour 2 sauf mention explicite).

Ensuite, il y a plusieurs catégories de licence avec des droits différents. En général, sur un PC acheté avec Windows pré-installé, on est OEM donc limité à cet ordi. Seules les licences les plus chères peuvent être (je crois) réinstallées sur un autre ordi.

Mais comme je suis sur que ta licence du fix était OEM, si ta licence du portable est "générale", il faudra que tu réinstalles Windows (et pas seulement répares).

Ce que je ne sais pas c'est pourquoi ta licence a été invalidée. Si c'est l'entreprise qui a dupliqué (à tort) ou si c'est le fournisseur. Tu as le CD ? (j'ai peut être déja posé la question).

Julien06 · Answer

non je n'ai pas le cd et je n'ai pas plus d'information a te donner desolé...
Le telechargement de SP2 n'a servi a rien alors es ce que je peux le supprimer ?

Lyonnais92 · Answer

Re,

non, le SP2 améliore la sécurité. Garde le.

Que se passe-t-il si tu essayes de télécharger les mises à jour de Windows ?

Julien06 · Answer

re, ben la j'ai clické sur le petit icone en bas et il me telecharge les mises a jour sans rien me dire.

Lyonnais92 · Answer

Re,

tu me tiens au courant de la suite.

Julien06 · Answer

re, ben il a fini les mise a jour et me demande de redemarrer il y a eu 7 mises ajour de securité...

Lyonnais92 · Answer

Re,

redémarre

Julien06 · Answer

re, j'ai redemarrer ça yé. que veut u que je fasse maintenant?

Lyonnais92 · Answer

Bonjour,

tu as toujours eu un message Microsoft au démararge ?

Remets aussi un rapport Hiojackthis.

Julien06 · Answer

bonjour, 
oui j'ai un message me disant de resoudre le probbleme de copie de windows si s'en est une.

hijackthis...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:56:03, on 13/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Gigabyte\ET5\GUI.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [EasyTuneV] C:\Program Files\Gigabyte\ET5\GUI.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/02084dfa22d225efae05/netzip/RdxIE601_fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Lyonnais92 · Answer

Bonjour,

est ce qu'il accepte de te télécharger gratuitement IE 7 ? (il ne devrait pas)

Julien06 · Answer

re,
Quest ce que IE 7 ?

Lyonnais92 · Answer

Re,

Internet Explorer version 7 (tu as la version 6 )

As tu firefox ?

Julien06 · Answer

re, et je sais pas si je peux la telecharger en tout cas il me le propose pas. sinon j'ai morzilla firefox

Lyonnais92 · Answer

Re,

OK, laisse tombere IE 7.

Mets Mozilla Firefox en navigateur par défaut (si ce n'est pas déjà fait).

Julien06 · Answer

non en navigateur je crois que j'ai orange???. je vais essayer de le mettre mais je ne garantie rien.

Julien06 · Answer

re, c'est bon c'est fait j'ai remis morzilla firebox en navigateur par default

Julien06 · Answer

re, 
Mon pc est gueri? ;-)

Lyonnais92 · Answer

Re,

pour la navigateur, je crois que tu confonds le navigateur (IE ou mozilal Firefox) et la page d'accueil (en général, par défaut, celle du fournisseur d'accès internet).

J'ai du mal à apprécier le "degré d'illégalité" de ton Windows (ça va du totalement illégal, si l'acheteur du PC et de la licence a installé Windows sur plusieurs PC) à totalement légal si microsoft se plante en identifiant comme illégal un Windows qui l'est (c'est possible, mais dans ton cas tu ne pourras pas le prouver).

Je ne peux que te suggérer de "régulariser" ta situation mais je n'ai pas de bon conseil à te donner pour y arriver.

En attendant, l'ordi est propre et la sécurité du système très améliorée par l'installation du SP2 et des mises à jour de sécurité.
Pour bloquer temporairement les pop up, va voir ici :

http://forum.zebulon.fr/lofiversion/index.php/t96983.html

Il y a plein d'informatiosn et de suggestions.

Tiens moi au courant.

Lyonnais92 · Answer

Re

Mon pc est gueri? ;-)

oui, depuis le post 114.

depuis, on améliore la sécurité.

Il reste à supprimer les outisl de désinfection.

Si tiu as OTMoveIt, tu le lances, tu cliques sur le bouton Cleanup et tu exécutes. L'outil devrait faire redémarrer l'ordi. Sinon, tu le redémarres toi même.

Julien06 · Answer

re, ok merci je le fais de suite.

PS: pour ce qui est de la legalité ou l'illegalité de mon PC, je compte bientot acquerir un pc portable neuf(mais je ne sais pas lequel encore) a prix raisonnable et donc ce PC sera revendu ou recyclé.

Julien06 · Answer

re, 
je l'ai fait.et maintenant?

Lyonnais92 · Answer

Re,

tu as utilisé le lien que je t'ai donné pour enlever le pop up Windows ?

Y a t-il encore des outils de désinfection qui trainent ?

Julien06 · Answer

re, oui j'i encore plein d'outil syle smitfraud..., aod, combofix, virtumonde.., navilog, vundofix,roqueremover, sypot and destroy, avg, adware, ccleaner, killprocess, sdfix, a-squated free, killbox, zeb restore, hostexpert, et gmer...voila lol.
Sinon je pense que j'i un autre gros probleme, dans le forum zebulon ils disent d'effacer manuellement les fichier qui correspond a peu pres a ça KB901190  mais moi j'en ai une centaine meme un peu plus ecrit en bleu (bizar). je l'ai efface ?

Lyonnais92 · Answer

Re,

pour le KB....., garde les. Moi aussi, sur mon ordi ils sont en bleus ce sony t les MAJ  de Windows ou leurs désinstallateurs.

UIn outil pour supprmer les outils :

Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.

http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe


Clique sur Recherche et laisse le scan se terminer.



Clique, sur Suppression pour finaliser.



Tu peux, si tu le souhaites, te servir des Options facultatives.



Clique sur Quitter, pour que le rapport puisse se créer.



Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

Julien06 · Answer

re voici le rapport de tools...

-->- Recherche: 

C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !
C:\Documents and Settings\maison\Bureau\SdFix.exe: trouvé !
C:\Documents and Settings\maison\Bureau\Gmer.zip: trouvé !
C:\Documents and Settings\maison\Bureau\avenger.zip: trouvé !
C:\Documents and Settings\maison\Bureau\Clean.zip: trouvé !
C:\Documents and Settings\maison\Bureau\KillBox.exe: trouvé !
C:\Documents and Settings\maison\Bureau\VirtumundoBeGone.exe: trouvé !
C:\Documents and Settings\maison\Bureau\Navilog1.exe: trouvé !
C:\Documents and Settings\maison\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\maison\Bureau\vundoFix.exe: trouvé !
C:\Documents and Settings\maison\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\maison\Bureau\Clean: trouvé !
C:\Documents and Settings\maison\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\maison\Mes documents\KillBox.exe: trouvé !
C:\Documents and Settings\maison\Mes documents\laeti & julien\divers\HijackThis.exe: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: supprimé !
C:\Documents and Settings\maison\Bureau\SdFix.exe: supprimé !
C:\Documents and Settings\maison\Bureau\Gmer.zip: supprimé !
C:\Documents and Settings\maison\Bureau\avenger.zip: supprimé !
C:\Documents and Settings\maison\Bureau\Clean.zip: supprimé !
C:\Documents and Settings\maison\Bureau\KillBox.exe: supprimé !
C:\Documents and Settings\maison\Bureau\VirtumundoBeGone.exe: supprimé !
C:\Documents and Settings\maison\Bureau\Navilog1.exe: supprimé !
C:\Documents and Settings\maison\Bureau\ComboFix.exe: supprimé !
C:\Documents and Settings\maison\Bureau\vundoFix.exe: supprimé !
C:\Documents and Settings\maison\Bureau\SmitFraudFix.exe: supprimé !
C:\Documents and Settings\maison\Mes documents\KillBox.exe: supprimé !
C:\Documents and Settings\maison\Mes documents\laeti & julien\divers\HijackThis.exe: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: supprimé !
C:\Documents and Settings\maison\Bureau\Clean: supprimé !
C:\Documents and Settings\maison\Bureau\SmitFraudfix: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Corbeille vidée!
Fichiers temporaires nettoyés !
Sauvegarde du registre crée!

Lyonnais92 · Answer

Re,

il en reste encore ?

Julien06 · Answer

re, 
non il reste que ceux dont j'ai besoin je pense comme  adware, spybot, ccleaner, avg et antivir et aussi toolsclean.

Lyonnais92 · Answer

Re,

à part Toolsclean que tu peux supprimer (ensuite tu vide la corbeille) tu as raison, les autres, tu les gardes.

Julien06 · Answer

re,
Ok c'est fait j'ai tout enlevé. Je te remercie pour tout.
mais au fait c'est fini?

Lyonnais92 · Answer

Re,

oui, c'est fini

ça fait bizarre ?

ca a été une sacré bataille.

pour mon compte j'y ai appris beaucoup de choses. 

Je ferai un petit résumé des apports de cette désinfection.

Je n'oublierai pas non plus l'aide que mOe, g!rly et FillPCA m'ont apporté sur ce topic.

Bon surf à toi.

Mais la prochaine fois que tu as un problème, un seul post lol.

Julien06 · Answer

bonsoir, Merci pour tout lyonnais92 surtout a toi et aussi a tous ceux qui m'ont aidé sur mes doublons lol.
Moi aussi j'ai appris bcp de choses grace a vous et cette infection.
Merci encore et continué comme ça vous etes super.
A plus.

g!rly · Answer

--
mouvement de non entraide a suivre très prochainement...

Rapport mauvais ?

166 réponses

Discussions similaires