Warning potential spyware operation
mickeymat75
Messages postés
67
Statut
Membre
-
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,
je sais que de nombreux post ont déjà été faits sur ce problème mais après avoir tout essayé, le message revient toujours est commence à me saouler. En effet, non seulement je n'ai plus accès à mon panneau de configuration mais en plus, Internet rame à mort en raison des ActiveX qui sont bloqués. Pour finir, dès que je suis en train de jouer sur mon PC, je reviens à Windows quand le message apparait, c'est lourd !!
Je vous joins le rapport fait par SmitfraudFix:
SmitFraudFix v2.240
Rapport fait à 7:28:03,53, 22/10/2007
Executé à partir de C:\Documents and Settings\Mickey\Bureau\programmes antivir\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Program Files\Ad-Aware 2007\aawservice.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\printer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Sporever\Football365 Toolbar\launcher.exe
C:\Program Files\Sporever\Football365 Toolbar\Football365 Toolbar.exe
C:\Program Files\Fichiers communs\Nosibay\RunningObjectRegistry.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\GrabIt\GrabIt.exe
D:\Program Files\Avant Browser\avant.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
Fichier hosts corrompu !
192.168.200.3 download.microsoft.com
192.168.200.3 downloads.microsoft.com
192.168.200.3 go.microsoft.com
192.168.200.3 microsoft.com
192.168.200.3 msdn.microsoft.com
192.168.200.3 office.microsoft.com
192.168.200.3 support.microsoft.com
192.168.200.3 windowsupdate.microsoft.com
192.168.200.3 www.microsoft.com
192.168.200.3 pandasoftware.com
192.168.200.3 www.pandasoftware.com
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
C:\WINDOWS\system32\printer.exe PRESENT !
C:\WINDOWS\system32\WinAvXX.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mickey
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mickey\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
C:\DOCUME~1\Mickey\MENUDM~1\PROGRA~1\DMARRA~1\system.exe PRESENT !
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\autorun.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Mickey\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.53.252
DNS Server Search Order: 212.27.54.252
HKLM\SYSTEM\CCS\Services\Tcpip\..\{69B0863B-0BD2-4FAA-AC32-6E9C182EB044}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{69B0863B-0BD2-4FAA-AC32-6E9C182EB044}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{69B0863B-0BD2-4FAA-AC32-6E9C182EB044}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
A noter que lors de la recherche, j'ai eu plusieurs fois le message me disant que "la modification du registre a été bloquée par l'administrateur"
Voici maintenant le rapport fait par SmitfraudFix après le nettoyage en mode sans échec !!
SmitFraudFix v2.240
Rapport fait à 7:39:09,95, 22/10/2007
Executé à partir de C:\Documents and Settings\Mickey\Bureau\programmes antivir\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
192.168.200.3 ad.doubleclick.net
192.168.200.3 ad.fastclick.net
192.168.200.3 ads.fastclick.net
192.168.200.3 ar.atwola.com
192.168.200.3 atdmt.com
192.168.200.3 avp.ch
192.168.200.3 avp.com
192.168.200.3 avp.ru
192.168.200.3 awaps.net
192.168.200.3 banner.fastclick.net
192.168.200.3 banners.fastclick.net
192.168.200.3 ca.com
192.168.200.3 click.atdmt.com
192.168.200.3 clicks.atdmt.com
192.168.200.3 customer.symantec.com
192.168.200.3 dispatch.mcafee.com
192.168.200.3 download.mcafee.com
192.168.200.3 downloads-us1.kaspersky-labs.com
192.168.200.3 downloads-us2.kaspersky-labs.com
192.168.200.3 downloads-us3.kaspersky-labs.com
192.168.200.3 downloads1.kaspersky-labs.com
192.168.200.3 downloads2.kaspersky-labs.com
192.168.200.3 downloads3.kaspersky-labs.com
192.168.200.3 downloads4.kaspersky-labs.com
192.168.200.3 engine.awaps.net
192.168.200.3 f-secure.com
192.168.200.3 fastclick.net
192.168.200.3 ftp.avp.ch
192.168.200.3 ftp.downloads1.kaspersky-labs.com
192.168.200.3 ftp.downloads2.kaspersky-labs.com
192.168.200.3 ftp.downloads3.kaspersky-labs.com
192.168.200.3 ftp.f-secure.com
192.168.200.3 ftp.kasperskylab.ru
192.168.200.3 ftp.sophos.com
192.168.200.3 ids.kaspersky-labs.com
192.168.200.3 kaspersky-labs.com
192.168.200.3 kaspersky.com
192.168.200.3 liveupdate.symantec.com
192.168.200.3 liveupdate.symantecliveupdate.com
192.168.200.3 mast.mcafee.com
192.168.200.3 mcafee.com
192.168.200.3 media.fastclick.net
192.168.200.3 my-etrust.com
192.168.200.3 nai.com
192.168.200.3 networkassociates.com
192.168.200.3 norton.com
192.168.200.3 phx.corporate-ir.net
192.168.200.3 rads.mcafee.com
192.168.200.3 secure.nai.com
192.168.200.3 securityresponse.symantec.com
192.168.200.3 service1.symantec.com
192.168.200.3 sophos.com
192.168.200.3 spd.atdmt.com
192.168.200.3 symantec.com
192.168.200.3 trendmicro.com
192.168.200.3 update.symantec.com
192.168.200.3 updates.symantec.com
192.168.200.3 updates1.kaspersky-labs.com
192.168.200.3 updates2.kaspersky-labs.com
192.168.200.3 updates3.kaspersky-labs.com
192.168.200.3 updates4.kaspersky-labs.com
192.168.200.3 updates5.kaspersky-labs.com
192.168.200.3 us.mcafee.com
192.168.200.3 vil.nai.com
192.168.200.3 viruslist.com
192.168.200.3 viruslist.ru
192.168.200.3 virusscan.jotti.org
192.168.200.3 virustotal.com
192.168.200.3 www.avp.ch
192.168.200.3 www.avp.com
192.168.200.3 www.avp.ru
192.168.200.3 www.awaps.net
192.168.200.3 www.ca.com
192.168.200.3 www.f-secure.com
192.168.200.3 www.fastclick.net
192.168.200.3 www.grisoft.com
192.168.200.3 www.kaspersky-labs.com
192.168.200.3 www.kaspersky.com
192.168.200.3 www.kaspersky.ru
192.168.200.3 www.mcafee.com
192.168.200.3 www.my-etrust.com
192.168.200.3 www.nai.com
192.168.200.3 www.networkassociates.com
192.168.200.3 www.sophos.com
192.168.200.3 www.symantec.com
192.168.200.3 www.symantec.com
192.168.200.3 www.trendmicro.com
192.168.200.3 www.viruslist.com
192.168.200.3 www.viruslist.ru
192.168.200.3 www.virustotal.com
192.168.200.3 www3.ca.com
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
C:\WINDOWS\system32\printer.exe supprimé
C:\WINDOWS\system32\WinAvXX.exe supprimé
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\autorun.exe supprimé
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{69B0863B-0BD2-4FAA-AC32-6E9C182EB044}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{69B0863B-0BD2-4FAA-AC32-6E9C182EB044}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{69B0863B-0BD2-4FAA-AC32-6E9C182EB044}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Malgré tout, le message revient sans cesse, je n'en peux plus, aidez moi s'il-vous-plaît !!
je sais que de nombreux post ont déjà été faits sur ce problème mais après avoir tout essayé, le message revient toujours est commence à me saouler. En effet, non seulement je n'ai plus accès à mon panneau de configuration mais en plus, Internet rame à mort en raison des ActiveX qui sont bloqués. Pour finir, dès que je suis en train de jouer sur mon PC, je reviens à Windows quand le message apparait, c'est lourd !!
Je vous joins le rapport fait par SmitfraudFix:
SmitFraudFix v2.240
Rapport fait à 7:28:03,53, 22/10/2007
Executé à partir de C:\Documents and Settings\Mickey\Bureau\programmes antivir\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Program Files\Ad-Aware 2007\aawservice.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\printer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Sporever\Football365 Toolbar\launcher.exe
C:\Program Files\Sporever\Football365 Toolbar\Football365 Toolbar.exe
C:\Program Files\Fichiers communs\Nosibay\RunningObjectRegistry.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\GrabIt\GrabIt.exe
D:\Program Files\Avant Browser\avant.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
Fichier hosts corrompu !
192.168.200.3 download.microsoft.com
192.168.200.3 downloads.microsoft.com
192.168.200.3 go.microsoft.com
192.168.200.3 microsoft.com
192.168.200.3 msdn.microsoft.com
192.168.200.3 office.microsoft.com
192.168.200.3 support.microsoft.com
192.168.200.3 windowsupdate.microsoft.com
192.168.200.3 www.microsoft.com
192.168.200.3 pandasoftware.com
192.168.200.3 www.pandasoftware.com
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
C:\WINDOWS\system32\printer.exe PRESENT !
C:\WINDOWS\system32\WinAvXX.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mickey
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mickey\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
C:\DOCUME~1\Mickey\MENUDM~1\PROGRA~1\DMARRA~1\system.exe PRESENT !
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\autorun.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Mickey\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.53.252
DNS Server Search Order: 212.27.54.252
HKLM\SYSTEM\CCS\Services\Tcpip\..\{69B0863B-0BD2-4FAA-AC32-6E9C182EB044}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{69B0863B-0BD2-4FAA-AC32-6E9C182EB044}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{69B0863B-0BD2-4FAA-AC32-6E9C182EB044}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
A noter que lors de la recherche, j'ai eu plusieurs fois le message me disant que "la modification du registre a été bloquée par l'administrateur"
Voici maintenant le rapport fait par SmitfraudFix après le nettoyage en mode sans échec !!
SmitFraudFix v2.240
Rapport fait à 7:39:09,95, 22/10/2007
Executé à partir de C:\Documents and Settings\Mickey\Bureau\programmes antivir\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
192.168.200.3 ad.doubleclick.net
192.168.200.3 ad.fastclick.net
192.168.200.3 ads.fastclick.net
192.168.200.3 ar.atwola.com
192.168.200.3 atdmt.com
192.168.200.3 avp.ch
192.168.200.3 avp.com
192.168.200.3 avp.ru
192.168.200.3 awaps.net
192.168.200.3 banner.fastclick.net
192.168.200.3 banners.fastclick.net
192.168.200.3 ca.com
192.168.200.3 click.atdmt.com
192.168.200.3 clicks.atdmt.com
192.168.200.3 customer.symantec.com
192.168.200.3 dispatch.mcafee.com
192.168.200.3 download.mcafee.com
192.168.200.3 downloads-us1.kaspersky-labs.com
192.168.200.3 downloads-us2.kaspersky-labs.com
192.168.200.3 downloads-us3.kaspersky-labs.com
192.168.200.3 downloads1.kaspersky-labs.com
192.168.200.3 downloads2.kaspersky-labs.com
192.168.200.3 downloads3.kaspersky-labs.com
192.168.200.3 downloads4.kaspersky-labs.com
192.168.200.3 engine.awaps.net
192.168.200.3 f-secure.com
192.168.200.3 fastclick.net
192.168.200.3 ftp.avp.ch
192.168.200.3 ftp.downloads1.kaspersky-labs.com
192.168.200.3 ftp.downloads2.kaspersky-labs.com
192.168.200.3 ftp.downloads3.kaspersky-labs.com
192.168.200.3 ftp.f-secure.com
192.168.200.3 ftp.kasperskylab.ru
192.168.200.3 ftp.sophos.com
192.168.200.3 ids.kaspersky-labs.com
192.168.200.3 kaspersky-labs.com
192.168.200.3 kaspersky.com
192.168.200.3 liveupdate.symantec.com
192.168.200.3 liveupdate.symantecliveupdate.com
192.168.200.3 mast.mcafee.com
192.168.200.3 mcafee.com
192.168.200.3 media.fastclick.net
192.168.200.3 my-etrust.com
192.168.200.3 nai.com
192.168.200.3 networkassociates.com
192.168.200.3 norton.com
192.168.200.3 phx.corporate-ir.net
192.168.200.3 rads.mcafee.com
192.168.200.3 secure.nai.com
192.168.200.3 securityresponse.symantec.com
192.168.200.3 service1.symantec.com
192.168.200.3 sophos.com
192.168.200.3 spd.atdmt.com
192.168.200.3 symantec.com
192.168.200.3 trendmicro.com
192.168.200.3 update.symantec.com
192.168.200.3 updates.symantec.com
192.168.200.3 updates1.kaspersky-labs.com
192.168.200.3 updates2.kaspersky-labs.com
192.168.200.3 updates3.kaspersky-labs.com
192.168.200.3 updates4.kaspersky-labs.com
192.168.200.3 updates5.kaspersky-labs.com
192.168.200.3 us.mcafee.com
192.168.200.3 vil.nai.com
192.168.200.3 viruslist.com
192.168.200.3 viruslist.ru
192.168.200.3 virusscan.jotti.org
192.168.200.3 virustotal.com
192.168.200.3 www.avp.ch
192.168.200.3 www.avp.com
192.168.200.3 www.avp.ru
192.168.200.3 www.awaps.net
192.168.200.3 www.ca.com
192.168.200.3 www.f-secure.com
192.168.200.3 www.fastclick.net
192.168.200.3 www.grisoft.com
192.168.200.3 www.kaspersky-labs.com
192.168.200.3 www.kaspersky.com
192.168.200.3 www.kaspersky.ru
192.168.200.3 www.mcafee.com
192.168.200.3 www.my-etrust.com
192.168.200.3 www.nai.com
192.168.200.3 www.networkassociates.com
192.168.200.3 www.sophos.com
192.168.200.3 www.symantec.com
192.168.200.3 www.symantec.com
192.168.200.3 www.trendmicro.com
192.168.200.3 www.viruslist.com
192.168.200.3 www.viruslist.ru
192.168.200.3 www.virustotal.com
192.168.200.3 www3.ca.com
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
C:\WINDOWS\system32\printer.exe supprimé
C:\WINDOWS\system32\WinAvXX.exe supprimé
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\autorun.exe supprimé
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{69B0863B-0BD2-4FAA-AC32-6E9C182EB044}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{69B0863B-0BD2-4FAA-AC32-6E9C182EB044}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{69B0863B-0BD2-4FAA-AC32-6E9C182EB044}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Malgré tout, le message revient sans cesse, je n'en peux plus, aidez moi s'il-vous-plaît !!
A voir également:
- Warning potential spyware operation
- Spyware doctor - Télécharger - Antivirus & Antimalwares
- Warning zone telechargement - Accueil - Outils
- Spyware terminator - Télécharger - Antivirus & Antimalwares
- Spyware blaster - Télécharger - Antivirus & Antimalwares
- Warning your chassis has been opened ✓ - Forum Matériel & Système
19 réponses
Bonjour,
Télécharge Hoster
http://www.funkytoad.com/download/HostsXpert.zip
Dézippe le sur le bureau.
Lance Hoster et clique sur "Restore Microsoft's Hosts File".
Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.
Enregistre HJTInstall.exe sur ton bureau.
Double-clique sur HJTInstall.exe pour lancer le programme
Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis
Accepte la license en cliquant sur le bouton "I Accept"
Choisis l'option "Do a system scan and save a log file"
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
Colle le rapport que tu viens de copier sur ce forum
Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement
Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)
http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm
Télécharge Hoster
http://www.funkytoad.com/download/HostsXpert.zip
Dézippe le sur le bureau.
Lance Hoster et clique sur "Restore Microsoft's Hosts File".
Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.
Enregistre HJTInstall.exe sur ton bureau.
Double-clique sur HJTInstall.exe pour lancer le programme
Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis
Accepte la license en cliquant sur le bouton "I Accept"
Choisis l'option "Do a system scan and save a log file"
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
Colle le rapport que tu viens de copier sur ce forum
Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement
Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)
http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm
Merci Lyonnais92 de m'aider
Désolé de ne pas avoir répondu plus tôt mais je bossais.
J'ai fait ce que tu m'as dit, d'abord avec Hoster puis avec Hijackthis dont voici le rapport :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:27:42, on 22/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Sporever\Football365 Toolbar\launcher.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
C:\Documents and Settings\Mickey\Menu Démarrer\Programmes\Démarrage\system.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Ad-Aware 2007\aawservice.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Sporever\Football365 Toolbar\Football365 Toolbar.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Fichiers communs\Nosibay\RunningObjectRegistry.exe
C:\WINDOWS\system32\svchost.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\MSN Messenger\usnsvc.exe
D:\Program Files\Avant Browser\avant.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Documents and Settings\Mickey\Bureau\programmes antivir\HostsXpert.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1036
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Football365 Toolbar] "C:\Program Files\Sporever\Football365 Toolbar\launcher.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: PrintKey 2000 Fr.lnk = C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
O4 - Startup: system.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - https://www.snapfish.fr/2/home
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoways.com/clients/ImageUploader3.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.1.0.56.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553590000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
Désolé de ne pas avoir répondu plus tôt mais je bossais.
J'ai fait ce que tu m'as dit, d'abord avec Hoster puis avec Hijackthis dont voici le rapport :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:27:42, on 22/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Sporever\Football365 Toolbar\launcher.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
C:\Documents and Settings\Mickey\Menu Démarrer\Programmes\Démarrage\system.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Ad-Aware 2007\aawservice.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Sporever\Football365 Toolbar\Football365 Toolbar.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Fichiers communs\Nosibay\RunningObjectRegistry.exe
C:\WINDOWS\system32\svchost.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\MSN Messenger\usnsvc.exe
D:\Program Files\Avant Browser\avant.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Documents and Settings\Mickey\Bureau\programmes antivir\HostsXpert.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1036
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Football365 Toolbar] "C:\Program Files\Sporever\Football365 Toolbar\launcher.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: PrintKey 2000 Fr.lnk = C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
O4 - Startup: system.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - https://www.snapfish.fr/2/home
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoways.com/clients/ImageUploader3.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.1.0.56.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553590000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
Re,
1) Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier : C:\Documents and Settings\Mickey\Menu Démarrer\Programmes\Démarrage\system.exe
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
2) Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau
Double clique sur le OAD pour le lancer
- nom de fichier à rechercher tape ou fais un copier coller de : system.exe
- Type de recherche : sélectionne l'option 6 puis valide [entree]
OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.
- Fais un copier / coller de ce rapport dans ton prochain post.
Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient(e)
3) Relance HijackThis.
Choisis Do a scan only
Coche la case devant les lignes suivantes
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.
Clique sur fix checked.
Ferme Hijackthis.
4) redémarre en mode sans échec et relance SmitfraudFix choix 2
5) Tu sembles ne pas avoir de parefeu contrôlant les connexions sortantes, ce qui est un risque de sécurité.
Si c'est le cas tu as le choix entre ces deux possibilités :
Zone Alarm Tuto et lien de téléchargement ici :
https://www.malekal.com/tutoriel-zonealarm-firewall/
Kerio Tuto et lien de téléchargement ici :
http://www.malekal.com/kerio_firewall.php
Il y en a d'autres que tu peux trouver en ouvrant ce lien :
http://www.malekal.com/menu_tutorials_logiciels.php
Il faut que tu désactives le parefeu de Windows (panneau de configuration, parefeu de Windows) après le téléchargement et avant l'installation (déconnecte toi du Net à ce moment là).
6) remets un log Hijackthis.
Bon courage
1) Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier : C:\Documents and Settings\Mickey\Menu Démarrer\Programmes\Démarrage\system.exe
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
2) Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau
Double clique sur le OAD pour le lancer
- nom de fichier à rechercher tape ou fais un copier coller de : system.exe
- Type de recherche : sélectionne l'option 6 puis valide [entree]
OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.
- Fais un copier / coller de ce rapport dans ton prochain post.
Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient(e)
3) Relance HijackThis.
Choisis Do a scan only
Coche la case devant les lignes suivantes
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.
Clique sur fix checked.
Ferme Hijackthis.
4) redémarre en mode sans échec et relance SmitfraudFix choix 2
5) Tu sembles ne pas avoir de parefeu contrôlant les connexions sortantes, ce qui est un risque de sécurité.
Si c'est le cas tu as le choix entre ces deux possibilités :
Zone Alarm Tuto et lien de téléchargement ici :
https://www.malekal.com/tutoriel-zonealarm-firewall/
Kerio Tuto et lien de téléchargement ici :
http://www.malekal.com/kerio_firewall.php
Il y en a d'autres que tu peux trouver en ouvrant ce lien :
http://www.malekal.com/menu_tutorials_logiciels.php
Il faut que tu désactives le parefeu de Windows (panneau de configuration, parefeu de Windows) après le téléchargement et avant l'installation (déconnecte toi du Net à ce moment là).
6) remets un log Hijackthis.
Bon courage
Salut Lyonnais, encore merci
voici le rapport de virustotal:
Fichier system.exe reçu le 2007.10.23 05:03:39 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 23/31 (74.2%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 39 et 56 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.10.23.0 2007.10.22 -
AntiVir 7.6.0.27 2007.10.22 TR/Crypt.ULPM.Gen
Authentium 4.93.8 2007.10.22 Possibly a new variant of W32/Fathom.3-based!Maximus
Avast 4.7.1051.0 2007.10.22 -
AVG 7.5.0.488 2007.10.22 Obfustat.SWP
BitDefender 7.2 2007.10.22 Trojan.Peed.JZ
CAT-QuickHeal 9.00 2007.10.22 Trojan.Qhost.pw
ClamAV 0.91.2 2007.10.23 -
DrWeb 4.44.0.09170 2007.10.22 Win32.HLLW.Winav
eSafe 7.0.15.0 2007.10.22 suspicious Trojan/Worm
eTrust-Vet 31.2.5232 2007.10.23 Win32/Wantvi.AA
Ewido 4.0 2007.10.22 -
FileAdvisor 1 2007.10.23 -
Fortinet 3.11.0.0 2007.10.19 W32/NUCRP!worm
F-Prot 4.3.2.48 2007.10.22 W32/Fathom.3-based!Maximus
F-Secure 6.70.13030.0 2007.10.23 Trojan.Win32.Qhost.pw
Ikarus T3.1.1.12 2007.10.23 Trojan.Peed.JZ
Kaspersky 7.0.0.125 2007.10.23 Trojan.Win32.Qhost.pw
McAfee 5146 2007.10.22 New Malware.bc
Microsoft 1.2908 2007.10.23 Trojan:Win32/SystemHijack.gen
NOD32v2 2607 2007.10.22 Win32/TrojanDownloader.Agent.NRJ
Norman 5.80.02 2007.10.22 W32/Qhost.CSC
Panda 9.0.0.4 2007.10.23 Adware/WinAntiVirus2007
Prevx1 V2 2007.10.23 -
Rising 19.46.10.00 2007.10.23 -
Sophos 4.22.0 2007.10.23 Mal/HckPk-A
Sunbelt 2.2.907.0 2007.10.20 Trojan.Win32/SystemHijack.gen
Symantec 10 2007.10.23 Trojan.Fakeavalert
TheHacker 6.2.9.104 2007.10.22 -
VBA32 3.12.2.4 2007.10.22 Trojan.Win32.Qhost.pw
VirusBuster 4.3.26:9 2007.10.22 Trojan.Renos.Gen!Pac.5
Information additionnelle
File size: 7680 bytes
MD5: 860a124ffb7847f9ae26dc256be68928
SHA1: 26057de75b4cb57399405d2076985c7e110fc850
Voici maintenant le rapport OAD :
23/10/2007 ---- 5:18:50,67
----------------------------------
§§§§§§ [C:\Documents and Settings\Mickey\Menu D‚marrer\Programmes\D‚marrage\system.exe ] §§§§§§
----------------------------------
[X] Registre
-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete
********************
[Registre]
********************
*******************
[Fichier]
*******************
*********************
[Même date]
*********************
Aucun fichier créé à la même date détecté
Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
voici le rapport SmitfraudFix :
SmitFraudFix v2.240
Rapport fait à 5:34:22,92, 23/10/2007
Executé à partir de C:\Documents and Settings\Mickey\Bureau\programmes antivir\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
192.168.200.3 ad.doubleclick.net
192.168.200.3 ad.fastclick.net
192.168.200.3 ads.fastclick.net
192.168.200.3 ar.atwola.com
192.168.200.3 atdmt.com
192.168.200.3 avp.ch
192.168.200.3 avp.com
192.168.200.3 avp.ru
192.168.200.3 awaps.net
192.168.200.3 banner.fastclick.net
192.168.200.3 banners.fastclick.net
192.168.200.3 ca.com
192.168.200.3 click.atdmt.com
192.168.200.3 clicks.atdmt.com
192.168.200.3 customer.symantec.com
192.168.200.3 dispatch.mcafee.com
192.168.200.3 download.mcafee.com
192.168.200.3 downloads-us1.kaspersky-labs.com
192.168.200.3 downloads-us2.kaspersky-labs.com
192.168.200.3 downloads-us3.kaspersky-labs.com
192.168.200.3 downloads1.kaspersky-labs.com
192.168.200.3 downloads2.kaspersky-labs.com
192.168.200.3 downloads3.kaspersky-labs.com
192.168.200.3 downloads4.kaspersky-labs.com
192.168.200.3 engine.awaps.net
192.168.200.3 f-secure.com
192.168.200.3 fastclick.net
192.168.200.3 ftp.avp.ch
192.168.200.3 ftp.downloads1.kaspersky-labs.com
192.168.200.3 ftp.downloads2.kaspersky-labs.com
192.168.200.3 ftp.downloads3.kaspersky-labs.com
192.168.200.3 ftp.f-secure.com
192.168.200.3 ftp.kasperskylab.ru
192.168.200.3 ftp.sophos.com
192.168.200.3 ids.kaspersky-labs.com
192.168.200.3 kaspersky-labs.com
192.168.200.3 kaspersky.com
192.168.200.3 liveupdate.symantec.com
192.168.200.3 liveupdate.symantecliveupdate.com
192.168.200.3 mast.mcafee.com
192.168.200.3 mcafee.com
192.168.200.3 media.fastclick.net
192.168.200.3 my-etrust.com
192.168.200.3 nai.com
192.168.200.3 networkassociates.com
192.168.200.3 norton.com
192.168.200.3 phx.corporate-ir.net
192.168.200.3 rads.mcafee.com
192.168.200.3 secure.nai.com
192.168.200.3 securityresponse.symantec.com
192.168.200.3 service1.symantec.com
192.168.200.3 sophos.com
192.168.200.3 spd.atdmt.com
192.168.200.3 symantec.com
192.168.200.3 trendmicro.com
192.168.200.3 update.symantec.com
192.168.200.3 updates.symantec.com
192.168.200.3 updates1.kaspersky-labs.com
192.168.200.3 updates2.kaspersky-labs.com
192.168.200.3 updates3.kaspersky-labs.com
192.168.200.3 updates4.kaspersky-labs.com
192.168.200.3 updates5.kaspersky-labs.com
192.168.200.3 us.mcafee.com
192.168.200.3 vil.nai.com
192.168.200.3 viruslist.com
192.168.200.3 viruslist.ru
192.168.200.3 virusscan.jotti.org
192.168.200.3 virustotal.com
192.168.200.3 www.avp.ch
192.168.200.3 www.avp.com
192.168.200.3 www.avp.ru
192.168.200.3 www.awaps.net
192.168.200.3 www.ca.com
192.168.200.3 www.f-secure.com
192.168.200.3 www.fastclick.net
192.168.200.3 www.grisoft.com
192.168.200.3 www.kaspersky-labs.com
192.168.200.3 www.kaspersky.com
192.168.200.3 www.kaspersky.ru
192.168.200.3 www.mcafee.com
192.168.200.3 www.my-etrust.com
192.168.200.3 www.nai.com
192.168.200.3 www.networkassociates.com
192.168.200.3 www.sophos.com
192.168.200.3 www.symantec.com
192.168.200.3 www.symantec.com
192.168.200.3 www.trendmicro.com
192.168.200.3 www.viruslist.com
192.168.200.3 www.viruslist.ru
192.168.200.3 www.virustotal.com
192.168.200.3 www3.ca.com
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
C:\WINDOWS\system32\printer.exe supprimé
C:\WINDOWS\system32\WinAvXX.exe supprimé
C:\DOCUME~1\ADMINI~1\MENUDM~1\PROGRA~1\DMARRA~1\system.exe supprimé
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\autorun.exe supprimé
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{69B0863B-0BD2-4FAA-AC32-6E9C182EB044}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{69B0863B-0BD2-4FAA-AC32-6E9C182EB044}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{69B0863B-0BD2-4FAA-AC32-6E9C182EB044}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Le message apparaît toujours et je n'ai pas plus accès à mon panneau de configuration (difficile d'enlever le pare feu windows pour mettre zone alarm dans ces conditons)
au secours ....
voici le rapport de virustotal:
Fichier system.exe reçu le 2007.10.23 05:03:39 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 23/31 (74.2%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 39 et 56 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.10.23.0 2007.10.22 -
AntiVir 7.6.0.27 2007.10.22 TR/Crypt.ULPM.Gen
Authentium 4.93.8 2007.10.22 Possibly a new variant of W32/Fathom.3-based!Maximus
Avast 4.7.1051.0 2007.10.22 -
AVG 7.5.0.488 2007.10.22 Obfustat.SWP
BitDefender 7.2 2007.10.22 Trojan.Peed.JZ
CAT-QuickHeal 9.00 2007.10.22 Trojan.Qhost.pw
ClamAV 0.91.2 2007.10.23 -
DrWeb 4.44.0.09170 2007.10.22 Win32.HLLW.Winav
eSafe 7.0.15.0 2007.10.22 suspicious Trojan/Worm
eTrust-Vet 31.2.5232 2007.10.23 Win32/Wantvi.AA
Ewido 4.0 2007.10.22 -
FileAdvisor 1 2007.10.23 -
Fortinet 3.11.0.0 2007.10.19 W32/NUCRP!worm
F-Prot 4.3.2.48 2007.10.22 W32/Fathom.3-based!Maximus
F-Secure 6.70.13030.0 2007.10.23 Trojan.Win32.Qhost.pw
Ikarus T3.1.1.12 2007.10.23 Trojan.Peed.JZ
Kaspersky 7.0.0.125 2007.10.23 Trojan.Win32.Qhost.pw
McAfee 5146 2007.10.22 New Malware.bc
Microsoft 1.2908 2007.10.23 Trojan:Win32/SystemHijack.gen
NOD32v2 2607 2007.10.22 Win32/TrojanDownloader.Agent.NRJ
Norman 5.80.02 2007.10.22 W32/Qhost.CSC
Panda 9.0.0.4 2007.10.23 Adware/WinAntiVirus2007
Prevx1 V2 2007.10.23 -
Rising 19.46.10.00 2007.10.23 -
Sophos 4.22.0 2007.10.23 Mal/HckPk-A
Sunbelt 2.2.907.0 2007.10.20 Trojan.Win32/SystemHijack.gen
Symantec 10 2007.10.23 Trojan.Fakeavalert
TheHacker 6.2.9.104 2007.10.22 -
VBA32 3.12.2.4 2007.10.22 Trojan.Win32.Qhost.pw
VirusBuster 4.3.26:9 2007.10.22 Trojan.Renos.Gen!Pac.5
Information additionnelle
File size: 7680 bytes
MD5: 860a124ffb7847f9ae26dc256be68928
SHA1: 26057de75b4cb57399405d2076985c7e110fc850
Voici maintenant le rapport OAD :
23/10/2007 ---- 5:18:50,67
----------------------------------
§§§§§§ [C:\Documents and Settings\Mickey\Menu D‚marrer\Programmes\D‚marrage\system.exe ] §§§§§§
----------------------------------
[X] Registre
-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete
********************
[Registre]
********************
*******************
[Fichier]
*******************
*********************
[Même date]
*********************
Aucun fichier créé à la même date détecté
Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
voici le rapport SmitfraudFix :
SmitFraudFix v2.240
Rapport fait à 5:34:22,92, 23/10/2007
Executé à partir de C:\Documents and Settings\Mickey\Bureau\programmes antivir\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
192.168.200.3 ad.doubleclick.net
192.168.200.3 ad.fastclick.net
192.168.200.3 ads.fastclick.net
192.168.200.3 ar.atwola.com
192.168.200.3 atdmt.com
192.168.200.3 avp.ch
192.168.200.3 avp.com
192.168.200.3 avp.ru
192.168.200.3 awaps.net
192.168.200.3 banner.fastclick.net
192.168.200.3 banners.fastclick.net
192.168.200.3 ca.com
192.168.200.3 click.atdmt.com
192.168.200.3 clicks.atdmt.com
192.168.200.3 customer.symantec.com
192.168.200.3 dispatch.mcafee.com
192.168.200.3 download.mcafee.com
192.168.200.3 downloads-us1.kaspersky-labs.com
192.168.200.3 downloads-us2.kaspersky-labs.com
192.168.200.3 downloads-us3.kaspersky-labs.com
192.168.200.3 downloads1.kaspersky-labs.com
192.168.200.3 downloads2.kaspersky-labs.com
192.168.200.3 downloads3.kaspersky-labs.com
192.168.200.3 downloads4.kaspersky-labs.com
192.168.200.3 engine.awaps.net
192.168.200.3 f-secure.com
192.168.200.3 fastclick.net
192.168.200.3 ftp.avp.ch
192.168.200.3 ftp.downloads1.kaspersky-labs.com
192.168.200.3 ftp.downloads2.kaspersky-labs.com
192.168.200.3 ftp.downloads3.kaspersky-labs.com
192.168.200.3 ftp.f-secure.com
192.168.200.3 ftp.kasperskylab.ru
192.168.200.3 ftp.sophos.com
192.168.200.3 ids.kaspersky-labs.com
192.168.200.3 kaspersky-labs.com
192.168.200.3 kaspersky.com
192.168.200.3 liveupdate.symantec.com
192.168.200.3 liveupdate.symantecliveupdate.com
192.168.200.3 mast.mcafee.com
192.168.200.3 mcafee.com
192.168.200.3 media.fastclick.net
192.168.200.3 my-etrust.com
192.168.200.3 nai.com
192.168.200.3 networkassociates.com
192.168.200.3 norton.com
192.168.200.3 phx.corporate-ir.net
192.168.200.3 rads.mcafee.com
192.168.200.3 secure.nai.com
192.168.200.3 securityresponse.symantec.com
192.168.200.3 service1.symantec.com
192.168.200.3 sophos.com
192.168.200.3 spd.atdmt.com
192.168.200.3 symantec.com
192.168.200.3 trendmicro.com
192.168.200.3 update.symantec.com
192.168.200.3 updates.symantec.com
192.168.200.3 updates1.kaspersky-labs.com
192.168.200.3 updates2.kaspersky-labs.com
192.168.200.3 updates3.kaspersky-labs.com
192.168.200.3 updates4.kaspersky-labs.com
192.168.200.3 updates5.kaspersky-labs.com
192.168.200.3 us.mcafee.com
192.168.200.3 vil.nai.com
192.168.200.3 viruslist.com
192.168.200.3 viruslist.ru
192.168.200.3 virusscan.jotti.org
192.168.200.3 virustotal.com
192.168.200.3 www.avp.ch
192.168.200.3 www.avp.com
192.168.200.3 www.avp.ru
192.168.200.3 www.awaps.net
192.168.200.3 www.ca.com
192.168.200.3 www.f-secure.com
192.168.200.3 www.fastclick.net
192.168.200.3 www.grisoft.com
192.168.200.3 www.kaspersky-labs.com
192.168.200.3 www.kaspersky.com
192.168.200.3 www.kaspersky.ru
192.168.200.3 www.mcafee.com
192.168.200.3 www.my-etrust.com
192.168.200.3 www.nai.com
192.168.200.3 www.networkassociates.com
192.168.200.3 www.sophos.com
192.168.200.3 www.symantec.com
192.168.200.3 www.symantec.com
192.168.200.3 www.trendmicro.com
192.168.200.3 www.viruslist.com
192.168.200.3 www.viruslist.ru
192.168.200.3 www.virustotal.com
192.168.200.3 www3.ca.com
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
C:\WINDOWS\system32\printer.exe supprimé
C:\WINDOWS\system32\WinAvXX.exe supprimé
C:\DOCUME~1\ADMINI~1\MENUDM~1\PROGRA~1\DMARRA~1\system.exe supprimé
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\autorun.exe supprimé
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{69B0863B-0BD2-4FAA-AC32-6E9C182EB044}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{69B0863B-0BD2-4FAA-AC32-6E9C182EB044}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{69B0863B-0BD2-4FAA-AC32-6E9C182EB044}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Le message apparaît toujours et je n'ai pas plus accès à mon panneau de configuration (difficile d'enlever le pare feu windows pour mettre zone alarm dans ces conditons)
au secours ....
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
télécharge combofix (par sUBs)ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau.
ferme toutes les applications, y compris ton navigateur
2 double-clique sur combofix.exe et suis les instructions
3 à la fin, il va produire un rapport C:\ComboFix.txt
4 copie/colle ce rapport dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
Remets aussi un log Hijackthis
télécharge combofix (par sUBs)ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau.
ferme toutes les applications, y compris ton navigateur
2 double-clique sur combofix.exe et suis les instructions
3 à la fin, il va produire un rapport C:\ComboFix.txt
4 copie/colle ce rapport dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
Remets aussi un log Hijackthis
Salut,
je viens de faire le combofix et j'ai récupéré mon panneau de config. De plus, je n'ai plus de message concernant les activeX quand j'ouvre mon navigateur internet. J'attends un peu pour voir si le message revient mais je crois que je tiens le bon bout... grâce à toi.
Voici le rapport combofix :
ComboFix 07-10-23.1 - Mickey 2007-10-23 10:28:51.1 - NTFSx86
Microsoft Windows XP dition familiale 5.1.2600.2.1252.1.1036.18.519 [GMT 2:00]
Running from: C:\Documents and Settings\Mickey\Bureau\ComboFix.exe
* Created a new restore point
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\Mickey\Menu D‚marrer\Programmes\D‚marrage\system.exe
C:\WINDOWS\system32\media
C:\WINDOWS\system32\media\AvidRender.wav
C:\WINDOWS\system32\printer.exe
C:\WINDOWS\system32\WinAvXX.exe
.
((((((((((((((((((((((((((((( Fichiers créés 2007-09-23 to 2007-10-23 ))))))))))))))))))))))))))))))))))))
.
2007-10-23 10:28 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-23 05:48 <REP> d-------- C:\Program Files\RapeLay
2007-10-23 05:34 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-10-23 05:34 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-10-23 05:34 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-10-23 05:34 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-10-23 05:34 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-10-21 03:48 <REP> d-------- C:\Program Files\SCRABBLE© Interactive 2007 EDITION
2007-10-21 03:20 <REP> d-------- C:\Program Files\eXperience112
2007-10-21 03:20 <REP> d-------- C:\Documents and Settings\Mickey\Application Data\InstallShield
2007-10-20 20:25 <REP> d-------- C:\Documents and Settings\Mickey\Application Data\Grisoft
2007-10-20 20:24 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-10-20 20:18 <REP> d-------- C:\Program Files\Lavasoft
2007-10-20 17:51 <REP> d-------- C:\Program Files\Trend Micro
2007-10-20 17:39 <REP> d-------- C:\Program Files\Navilog1
2007-10-19 15:40 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Avant Profiles
2007-10-19 15:36 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2007-10-19 15:36 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2007-10-19 15:36 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2007-10-19 15:36 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2007-10-19 15:36 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2007-10-19 15:36 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2007-10-19 15:36 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2007-10-19 15:27 15,073 --a------ C:\WINDOWS\ekdia187.exe
2007-10-19 15:18 3,874 --a------ C:\WINDOWS\system32\tmp.reg
2007-10-19 14:41 15,073 --a------ C:\WINDOWS\ekdia147.exe
2007-10-19 14:40 15,073 --a------ C:\WINDOWS\ekdia192.exe
2007-10-19 09:18 <REP> d-------- C:\Program Files\Ad-Aware 2007
2007-10-19 09:03 15,073 --a------ C:\WINDOWS\ekdia195.exe
2007-10-19 09:01 15,073 --a------ C:\WINDOWS\ekdia191.exe
2007-10-18 23:36 15,073 --a------ C:\WINDOWS\ekdia197.exe
2007-10-18 23:33 15,073 --a------ C:\WINDOWS\ekdia168.exe
2007-10-18 23:33 15,073 --a------ C:\WINDOWS\ekdia101.exe
2007-10-18 18:28 15,073 --a------ C:\WINDOWS\ekdia171.exe
2007-10-18 15:27 15,073 --a------ C:\WINDOWS\ekdia152.exe
2007-10-18 13:19 15,073 --a------ C:\WINDOWS\ekdia114.exe
2007-10-18 12:59 15,073 --a------ C:\WINDOWS\ekdia138.exe
2007-10-18 12:58 15,073 --a------ C:\WINDOWS\ekdia196.exe
2007-10-18 12:58 15,073 --a------ C:\WINDOWS\ekdia154.exe
2007-10-18 07:39 <REP> d--h----- C:\Program Files\Zero G Registry
2007-10-18 07:39 <REP> d--h----- C:\Documents and Settings\Mickey\InstallAnywhere
2007-10-14 08:44 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
2007-10-14 08:44 1,124,720 --a------ C:\WINDOWS\system32\D3DCompiler_34.dll
2007-10-14 08:44 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll
2007-10-14 08:44 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll
2007-10-14 08:44 18,280 --a------ C:\WINDOWS\system32\x3daudio1_2.dll
2007-10-09 09:05 <REP> d-------- C:\WINDOWS\system32\AGEIA
2007-10-09 09:04 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-10-09 09:04 <REP> d-------- C:\Program Files\AGEIA Technologies
2007-10-01 23:04 <REP> d-------- C:\Program Files\EA GAMES
2007-09-27 06:41 <REP> d-------- C:\Program Files\Obscure2
2007-09-26 19:54 <REP> d-------- C:\Program Files\ChessBase
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-21 02:11 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-10-21 02:11 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-10-21 02:11 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-10-21 01:50 --------- d-----w C:\Program Files\SCRABBLE® Interactive 2007 EDITION
2007-10-21 01:20 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-10-18 05:38 --------- d-----w C:\Documents and Settings\Mickey\Application Data\Sports Interactive
2007-10-16 19:48 --------- d-----w C:\Program Files\HomePlayer1.5.0.2
2007-10-14 06:40 --------- d-----w C:\Program Files\Activision
2007-10-02 15:06 --------- d-----w C:\Program Files\Sierra
2007-10-02 07:49 --------- d-----w C:\Program Files\La Malédiction de Judas
2007-09-27 16:35 --------- d--h--w C:\Program Files\avant browser
2007-09-23 01:06 --------- d-----w C:\Program Files\Real Alternative
2007-09-23 01:06 --------- d-----w C:\Program Files\QuickPar
2007-09-23 01:06 --------- d-----w C:\Program Files\Cdiscount photos
2007-09-17 21:08 --------- d-----w C:\Documents and Settings\Mickey\Application Data\Xfire
2007-09-17 20:54 --------- d-----w C:\Program Files\Xfire
2007-09-17 10:36 --------- d-----w C:\Program Files\World Poker Championship
2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-09-06 10:05 94,416 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-09-06 10:05 92,848 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-09-06 10:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-09-06 10:02 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-09-06 10:00 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2007-09-06 10:00 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-09-05 15:27 --------- d-----w C:\Documents and Settings\NetworkService\Application Data\Xfire
2007-09-02 22:49 --------- d-----w C:\Program Files\PrintKey 2000 Fr
2007-08-27 11:40 --------- d-----w C:\Program Files\FLV Player
2007-08-21 06:17 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2006-11-17 19:59 81,920 ----a-w C:\Documents and Settings\Mickey\Application Data\ezpinst.exe
2006-11-17 19:59 47,360 ----a-w C:\Documents and Settings\Mickey\Application Data\pcouffin.sys
2006-07-23 18:10 484,522 --sha-r C:\Program Files\serial.tde
2006-05-28 16:46 397,306 --sha-r C:\Program Files\wunauclt.zip
2006-05-28 16:46 397,306 --sha-r C:\Program Files\wunauclt.tbe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 15:21 C:\WINDOWS\system32\HdAShCut.exe]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2005-05-20 03:11]
"SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2005-09-07 15:35]
"avast!"="D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]
"SetDefPrt"="C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 18:02]
"ControlCenter2.0"="C:\Program Files\Brother\ControlCenter2\brctrcen.exe" [2005-07-19 12:36]
"SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22]
"PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 19:17]
"IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 19:30]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-10-25 19:58]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2006-10-30 10:36]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2006-11-12 12:48]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" []
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 14:00]
"Football365 Toolbar"="C:\Program Files\Sporever\Football365 Toolbar\launcher.exe" [2007-01-05 18:57]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 13:55]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 20:04]
C:\Documents and Settings\Mickey\Menu D‚marrer\Programmes\D‚marrage\
PrintKey 2000 Fr.lnk - C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe [2001-06-25 21:14:14]
R3 AEAudioService;AEAudio Service;C:\WINDOWS\system32\drivers\AEAudio.sys
R3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys
S1 vcdrom;Virtual CD-ROM Device Driver;\??\C:\Documents and Settings\Mickey\Bureau\VCdRom.sys
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0a977594-7cb3-11db-9c0b-0015f252d22c}]
AutoRun\command - L:\SETUP.EXE
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8680af09-64f0-11dc-9d1e-0015f252d22c}]
AutoRun\command - N:\autorun.exe
directx\command - N:\DirectX\dxsetup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{99c38b09-73f2-11dc-9d29-0015f252d22c}]
AutoRun\command - O:\Autorun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b3d90f59-1005-11dc-9cce-0015f252d22c}]
AutoRun\command - M:\autorun\autorun.exe
*Newly Created Service* - CATCHME
.
**************************************************************************
catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-23 10:32:19
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
C:\WINDOWS\erdnt
scan completed successfully
hidden files: 1
**************************************************************************
.
Completion time: 2007-10-23 10:33:01
.
--- E O F ---
Voici maintenant le HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:39:18, on 23/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Sporever\Football365 Toolbar\launcher.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Ad-Aware 2007\aawservice.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Sporever\Football365 Toolbar\Football365 Toolbar.exe
C:\Program Files\Fichiers communs\Nosibay\RunningObjectRegistry.exe
C:\WINDOWS\system32\svchost.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\MSN Messenger\usnsvc.exe
D:\Program Files\Avant Browser\avant.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1036
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Football365 Toolbar] "C:\Program Files\Sporever\Football365 Toolbar\launcher.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: PrintKey 2000 Fr.lnk = C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - https://www.snapfish.fr/2/home
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoways.com/clients/ImageUploader3.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.1.0.56.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553590000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
je viens de faire le combofix et j'ai récupéré mon panneau de config. De plus, je n'ai plus de message concernant les activeX quand j'ouvre mon navigateur internet. J'attends un peu pour voir si le message revient mais je crois que je tiens le bon bout... grâce à toi.
Voici le rapport combofix :
ComboFix 07-10-23.1 - Mickey 2007-10-23 10:28:51.1 - NTFSx86
Microsoft Windows XP dition familiale 5.1.2600.2.1252.1.1036.18.519 [GMT 2:00]
Running from: C:\Documents and Settings\Mickey\Bureau\ComboFix.exe
* Created a new restore point
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\Mickey\Menu D‚marrer\Programmes\D‚marrage\system.exe
C:\WINDOWS\system32\media
C:\WINDOWS\system32\media\AvidRender.wav
C:\WINDOWS\system32\printer.exe
C:\WINDOWS\system32\WinAvXX.exe
.
((((((((((((((((((((((((((((( Fichiers créés 2007-09-23 to 2007-10-23 ))))))))))))))))))))))))))))))))))))
.
2007-10-23 10:28 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-23 05:48 <REP> d-------- C:\Program Files\RapeLay
2007-10-23 05:34 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-10-23 05:34 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-10-23 05:34 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-10-23 05:34 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-10-23 05:34 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-10-21 03:48 <REP> d-------- C:\Program Files\SCRABBLE© Interactive 2007 EDITION
2007-10-21 03:20 <REP> d-------- C:\Program Files\eXperience112
2007-10-21 03:20 <REP> d-------- C:\Documents and Settings\Mickey\Application Data\InstallShield
2007-10-20 20:25 <REP> d-------- C:\Documents and Settings\Mickey\Application Data\Grisoft
2007-10-20 20:24 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-10-20 20:18 <REP> d-------- C:\Program Files\Lavasoft
2007-10-20 17:51 <REP> d-------- C:\Program Files\Trend Micro
2007-10-20 17:39 <REP> d-------- C:\Program Files\Navilog1
2007-10-19 15:40 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Avant Profiles
2007-10-19 15:36 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2007-10-19 15:36 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2007-10-19 15:36 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2007-10-19 15:36 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2007-10-19 15:36 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2007-10-19 15:36 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2007-10-19 15:36 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2007-10-19 15:27 15,073 --a------ C:\WINDOWS\ekdia187.exe
2007-10-19 15:18 3,874 --a------ C:\WINDOWS\system32\tmp.reg
2007-10-19 14:41 15,073 --a------ C:\WINDOWS\ekdia147.exe
2007-10-19 14:40 15,073 --a------ C:\WINDOWS\ekdia192.exe
2007-10-19 09:18 <REP> d-------- C:\Program Files\Ad-Aware 2007
2007-10-19 09:03 15,073 --a------ C:\WINDOWS\ekdia195.exe
2007-10-19 09:01 15,073 --a------ C:\WINDOWS\ekdia191.exe
2007-10-18 23:36 15,073 --a------ C:\WINDOWS\ekdia197.exe
2007-10-18 23:33 15,073 --a------ C:\WINDOWS\ekdia168.exe
2007-10-18 23:33 15,073 --a------ C:\WINDOWS\ekdia101.exe
2007-10-18 18:28 15,073 --a------ C:\WINDOWS\ekdia171.exe
2007-10-18 15:27 15,073 --a------ C:\WINDOWS\ekdia152.exe
2007-10-18 13:19 15,073 --a------ C:\WINDOWS\ekdia114.exe
2007-10-18 12:59 15,073 --a------ C:\WINDOWS\ekdia138.exe
2007-10-18 12:58 15,073 --a------ C:\WINDOWS\ekdia196.exe
2007-10-18 12:58 15,073 --a------ C:\WINDOWS\ekdia154.exe
2007-10-18 07:39 <REP> d--h----- C:\Program Files\Zero G Registry
2007-10-18 07:39 <REP> d--h----- C:\Documents and Settings\Mickey\InstallAnywhere
2007-10-14 08:44 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
2007-10-14 08:44 1,124,720 --a------ C:\WINDOWS\system32\D3DCompiler_34.dll
2007-10-14 08:44 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll
2007-10-14 08:44 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll
2007-10-14 08:44 18,280 --a------ C:\WINDOWS\system32\x3daudio1_2.dll
2007-10-09 09:05 <REP> d-------- C:\WINDOWS\system32\AGEIA
2007-10-09 09:04 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-10-09 09:04 <REP> d-------- C:\Program Files\AGEIA Technologies
2007-10-01 23:04 <REP> d-------- C:\Program Files\EA GAMES
2007-09-27 06:41 <REP> d-------- C:\Program Files\Obscure2
2007-09-26 19:54 <REP> d-------- C:\Program Files\ChessBase
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-21 02:11 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-10-21 02:11 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-10-21 02:11 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-10-21 01:50 --------- d-----w C:\Program Files\SCRABBLE® Interactive 2007 EDITION
2007-10-21 01:20 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-10-18 05:38 --------- d-----w C:\Documents and Settings\Mickey\Application Data\Sports Interactive
2007-10-16 19:48 --------- d-----w C:\Program Files\HomePlayer1.5.0.2
2007-10-14 06:40 --------- d-----w C:\Program Files\Activision
2007-10-02 15:06 --------- d-----w C:\Program Files\Sierra
2007-10-02 07:49 --------- d-----w C:\Program Files\La Malédiction de Judas
2007-09-27 16:35 --------- d--h--w C:\Program Files\avant browser
2007-09-23 01:06 --------- d-----w C:\Program Files\Real Alternative
2007-09-23 01:06 --------- d-----w C:\Program Files\QuickPar
2007-09-23 01:06 --------- d-----w C:\Program Files\Cdiscount photos
2007-09-17 21:08 --------- d-----w C:\Documents and Settings\Mickey\Application Data\Xfire
2007-09-17 20:54 --------- d-----w C:\Program Files\Xfire
2007-09-17 10:36 --------- d-----w C:\Program Files\World Poker Championship
2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-09-06 10:05 94,416 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-09-06 10:05 92,848 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-09-06 10:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-09-06 10:02 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-09-06 10:00 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2007-09-06 10:00 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-09-05 15:27 --------- d-----w C:\Documents and Settings\NetworkService\Application Data\Xfire
2007-09-02 22:49 --------- d-----w C:\Program Files\PrintKey 2000 Fr
2007-08-27 11:40 --------- d-----w C:\Program Files\FLV Player
2007-08-21 06:17 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2006-11-17 19:59 81,920 ----a-w C:\Documents and Settings\Mickey\Application Data\ezpinst.exe
2006-11-17 19:59 47,360 ----a-w C:\Documents and Settings\Mickey\Application Data\pcouffin.sys
2006-07-23 18:10 484,522 --sha-r C:\Program Files\serial.tde
2006-05-28 16:46 397,306 --sha-r C:\Program Files\wunauclt.zip
2006-05-28 16:46 397,306 --sha-r C:\Program Files\wunauclt.tbe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 15:21 C:\WINDOWS\system32\HdAShCut.exe]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2005-05-20 03:11]
"SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2005-09-07 15:35]
"avast!"="D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]
"SetDefPrt"="C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 18:02]
"ControlCenter2.0"="C:\Program Files\Brother\ControlCenter2\brctrcen.exe" [2005-07-19 12:36]
"SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22]
"PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 19:17]
"IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 19:30]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-10-25 19:58]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2006-10-30 10:36]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2006-11-12 12:48]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" []
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 14:00]
"Football365 Toolbar"="C:\Program Files\Sporever\Football365 Toolbar\launcher.exe" [2007-01-05 18:57]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 13:55]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 20:04]
C:\Documents and Settings\Mickey\Menu D‚marrer\Programmes\D‚marrage\
PrintKey 2000 Fr.lnk - C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe [2001-06-25 21:14:14]
R3 AEAudioService;AEAudio Service;C:\WINDOWS\system32\drivers\AEAudio.sys
R3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys
S1 vcdrom;Virtual CD-ROM Device Driver;\??\C:\Documents and Settings\Mickey\Bureau\VCdRom.sys
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0a977594-7cb3-11db-9c0b-0015f252d22c}]
AutoRun\command - L:\SETUP.EXE
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8680af09-64f0-11dc-9d1e-0015f252d22c}]
AutoRun\command - N:\autorun.exe
directx\command - N:\DirectX\dxsetup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{99c38b09-73f2-11dc-9d29-0015f252d22c}]
AutoRun\command - O:\Autorun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b3d90f59-1005-11dc-9cce-0015f252d22c}]
AutoRun\command - M:\autorun\autorun.exe
*Newly Created Service* - CATCHME
.
**************************************************************************
catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-23 10:32:19
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
C:\WINDOWS\erdnt
scan completed successfully
hidden files: 1
**************************************************************************
.
Completion time: 2007-10-23 10:33:01
.
--- E O F ---
Voici maintenant le HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:39:18, on 23/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Sporever\Football365 Toolbar\launcher.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Ad-Aware 2007\aawservice.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Sporever\Football365 Toolbar\Football365 Toolbar.exe
C:\Program Files\Fichiers communs\Nosibay\RunningObjectRegistry.exe
C:\WINDOWS\system32\svchost.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\MSN Messenger\usnsvc.exe
D:\Program Files\Avant Browser\avant.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1036
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Football365 Toolbar] "C:\Program Files\Sporever\Football365 Toolbar\launcher.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: PrintKey 2000 Fr.lnk = C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - https://www.snapfish.fr/2/home
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoways.com/clients/ImageUploader3.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.1.0.56.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553590000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
Bonjour,
tu utilises Erunt pour sauvegarder ton système ?
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier : C:\WINDOWS\ekdia154.exe
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
c'est quoi L, M, N, O ?
tu utilises Erunt pour sauvegarder ton système ?
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier : C:\WINDOWS\ekdia154.exe
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
c'est quoi L, M, N, O ?
salut,
je n'arrive pas à lancer virustotal (la page ne se charge pas !) et en plus, le message "warning potential spyware operation" vient de réapparaître, je ne comprends rien !!
je vais recommencer les étapes que tu m'as donné dès le début mais si ça revient à chaque fois, ça va pas le faire ...
je n'utilise pas Erunt, d'ailleurs je ne connaissais même pas, mais je vais le télécharger (quand j'aurai de nouveau réussi à faire partir ce p...n de message)
L, M, N et O sont des lecteurs virtuels crées avec Daemon
je n'arrive pas à lancer virustotal (la page ne se charge pas !) et en plus, le message "warning potential spyware operation" vient de réapparaître, je ne comprends rien !!
je vais recommencer les étapes que tu m'as donné dès le début mais si ça revient à chaque fois, ça va pas le faire ...
je n'utilise pas Erunt, d'ailleurs je ne connaissais même pas, mais je vais le télécharger (quand j'aurai de nouveau réussi à faire partir ce p...n de message)
L, M, N et O sont des lecteurs virtuels crées avec Daemon
Re,
à la place de virustotal, essaye avec :
https://virusscan.jotti.org/
Soumets aussi ce fichier : C:\WINDOWS\erdnt
Ne télécharge pas erunt (en tout cas pas pour le moment);
à la place de virustotal, essaye avec :
https://virusscan.jotti.org/
Soumets aussi ce fichier : C:\WINDOWS\erdnt
Ne télécharge pas erunt (en tout cas pas pour le moment);
Bonjour,
virusscan.jotti ne veut pas s'ouvrir non plus, j'ai comme l'impression que le PC a peur de se faire scanner ;-)
j'ai refait la démarche entière précédente et le message " warning potential spyware operation " a de nouveau disparu. A vrai dire, je crois savoir pourquoi c'était revenu...
par contre, j'ai installé ZoneAlarm mais quand il marche, je n'ai pas accès à Internet, ce qui est assez embêtant ... j'ai du bloquer un truc concernant mon navigateur (avant browser) et du coup impossible d'aller sur le net.
Petite question : le pare-feu de windows est-il suffisant ou faut il absolument le remplacer par ZoneAlarm par exemple ??
encore merci de continuer à m'aider, je dois passer pour un mauvais élève mais là je galère un peu quand même !
virusscan.jotti ne veut pas s'ouvrir non plus, j'ai comme l'impression que le PC a peur de se faire scanner ;-)
j'ai refait la démarche entière précédente et le message " warning potential spyware operation " a de nouveau disparu. A vrai dire, je crois savoir pourquoi c'était revenu...
par contre, j'ai installé ZoneAlarm mais quand il marche, je n'ai pas accès à Internet, ce qui est assez embêtant ... j'ai du bloquer un truc concernant mon navigateur (avant browser) et du coup impossible d'aller sur le net.
Petite question : le pare-feu de windows est-il suffisant ou faut il absolument le remplacer par ZoneAlarm par exemple ??
encore merci de continuer à m'aider, je dois passer pour un mauvais élève mais là je galère un peu quand même !
J'en ai marre !!!!!!!!!!!!!!!!!!!!!!!!!!
Le message est de nouveau revenu, tout ce que j'ai fait ce matin n'a servi à rien !!!
pfffffffff, c'est vraiment une plaie ce truc !
Le message est de nouveau revenu, tout ce que j'ai fait ce matin n'a servi à rien !!!
pfffffffff, c'est vraiment une plaie ce truc !
A chaque redémarrage du PC, j'ai le même HijackThis, c'est-à-dire avec les lignes :
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
J'ai beau supprimer les deux dernières en faisant un fixchecked comme tu me l'avais dit dans un précédent post, elles reviennent à chaque fois. De plus, printer est effacé à chaque fois en mode sans échec par SmitfraudFix et par Combofix mais rien à faire, il revient encore et toujours !
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
J'ai beau supprimer les deux dernières en faisant un fixchecked comme tu me l'avais dit dans un précédent post, elles reviennent à chaque fois. De plus, printer est effacé à chaque fois en mode sans échec par SmitfraudFix et par Combofix mais rien à faire, il revient encore et toujours !
Salut,
j'ai réussi (enfin) à atteindre la page de virustotal et voici le rapport :
Fichier ekdia154.exe reçu le 2007.10.24 21:42:30 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 7/31 (22.59%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 43 et 62 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.10.25.0 2007.10.24 -
AntiVir 7.6.0.27 2007.10.24 TR/Dialer.Agent.GMZ
Authentium 4.93.8 2007.10.24 -
Avast 4.7.1074.0 2007.10.23 -
AVG 7.5.0.488 2007.10.24 Potentially harmful program Dialer.GMZ
BitDefender 7.2 2007.10.24 -
CAT-QuickHeal 9.00 2007.10.23 Trojan.Agent.cca
ClamAV 0.91.2 2007.10.24 -
DrWeb 4.44.0.09170 2007.10.24 -
eSafe 7.0.15.0 2007.10.22 suspicious Trojan/Worm
eTrust-Vet 31.2.5237 2007.10.24 -
Ewido 4.0 2007.10.24 Heuristic.Win32.Dialer
FileAdvisor 1 2007.10.24 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.23 -
F-Secure 6.70.13030.0 2007.10.24 Trojan.Win32.Agent.cht
Ikarus T3.1.1.12 2007.10.24 -
Kaspersky 7.0.0.125 2007.10.24 Trojan.Win32.Agent.cht
McAfee 5147 2007.10.23 -
Microsoft 1.2908 2007.10.24 -
NOD32v2 2614 2007.10.24 -
Norman 5.80.02 2007.10.24 -
Panda 9.0.0.4 2007.10.23 -
Prevx1 V2 2007.10.24 -
Rising 19.46.22.00 2007.10.24 -
Sophos 4.22.0 2007.10.24 -
Sunbelt 2.2.907.0 2007.10.24 -
Symantec 10 2007.10.24 -
TheHacker 6.2.9.106 2007.10.24 -
VBA32 3.12.2.4 2007.10.24 -
VirusBuster 4.3.26:9 2007.10.24 -
Information additionnelle
File size: 15073 bytes
MD5: 47526e03c6ddbf9fb7d18869fae3c27f
SHA1: e33bf780b19c5f84530fd873be08f5685c698295
packers: UPX
C'est grave docteur ??
Par contre, dans le dossier erdnt, quel fichier dois-je analyser ??
j'ai réussi (enfin) à atteindre la page de virustotal et voici le rapport :
Fichier ekdia154.exe reçu le 2007.10.24 21:42:30 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 7/31 (22.59%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 43 et 62 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.10.25.0 2007.10.24 -
AntiVir 7.6.0.27 2007.10.24 TR/Dialer.Agent.GMZ
Authentium 4.93.8 2007.10.24 -
Avast 4.7.1074.0 2007.10.23 -
AVG 7.5.0.488 2007.10.24 Potentially harmful program Dialer.GMZ
BitDefender 7.2 2007.10.24 -
CAT-QuickHeal 9.00 2007.10.23 Trojan.Agent.cca
ClamAV 0.91.2 2007.10.24 -
DrWeb 4.44.0.09170 2007.10.24 -
eSafe 7.0.15.0 2007.10.22 suspicious Trojan/Worm
eTrust-Vet 31.2.5237 2007.10.24 -
Ewido 4.0 2007.10.24 Heuristic.Win32.Dialer
FileAdvisor 1 2007.10.24 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.23 -
F-Secure 6.70.13030.0 2007.10.24 Trojan.Win32.Agent.cht
Ikarus T3.1.1.12 2007.10.24 -
Kaspersky 7.0.0.125 2007.10.24 Trojan.Win32.Agent.cht
McAfee 5147 2007.10.23 -
Microsoft 1.2908 2007.10.24 -
NOD32v2 2614 2007.10.24 -
Norman 5.80.02 2007.10.24 -
Panda 9.0.0.4 2007.10.23 -
Prevx1 V2 2007.10.24 -
Rising 19.46.22.00 2007.10.24 -
Sophos 4.22.0 2007.10.24 -
Sunbelt 2.2.907.0 2007.10.24 -
Symantec 10 2007.10.24 -
TheHacker 6.2.9.106 2007.10.24 -
VBA32 3.12.2.4 2007.10.24 -
VirusBuster 4.3.26:9 2007.10.24 -
Information additionnelle
File size: 15073 bytes
MD5: 47526e03c6ddbf9fb7d18869fae3c27f
SHA1: e33bf780b19c5f84530fd873be08f5685c698295
packers: UPX
C'est grave docteur ??
Par contre, dans le dossier erdnt, quel fichier dois-je analyser ??
Bonjour,
tu as volontairement installé :
C:\Program Files\Zero G Registry
C:\Documents and Settings\Mickey\InstallAnywhere ?
tu as fabriqué : C:\WINDOWS\system32\tmp.reg ?
Relance HijackThis.
Choisis Do a scan only
Coche la case devant les lignes suivantes
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
04 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.
Clique sur fix checked.
Ferme Hijackthis.
télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en gras ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.
C:\WINDOWS\ekdia187.exe
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\ekdia147.exe
C:\WINDOWS\ekdia192.exe
C:\WINDOWS\ekdia195.exe
C:\WINDOWS\ekdia191.exe
C:\WINDOWS\ekdia197.exe
C:\WINDOWS\ekdia168.exe
C:\WINDOWS\ekdia101.exe
C:\WINDOWS\ekdia171.exe
C:\WINDOWS\ekdia152.exe
C:\WINDOWS\ekdia114.exe
C:\WINDOWS\ekdia138.exe
C:\WINDOWS\ekdia196.exe
C:\WINDOWS\ekdia154.exe
C:\WINDOWS\erdnt
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
Fais un scan en ligne Kaspersky avec Internet Explorer :
- Clique sur Démarrer Online-Scanner
- Clique maintenant sur J'accepte.
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des Mises à jour.
- Choisis par la suite l'analyse du Poste de travail.
- Sauvegarde puis colle le rapport généré en fin d'analyse.
AIDE : Configurer le contrôle des ActiveX
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
remets aussi un log Hijackthis.
tu as volontairement installé :
C:\Program Files\Zero G Registry
C:\Documents and Settings\Mickey\InstallAnywhere ?
tu as fabriqué : C:\WINDOWS\system32\tmp.reg ?
Relance HijackThis.
Choisis Do a scan only
Coche la case devant les lignes suivantes
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
04 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.
Clique sur fix checked.
Ferme Hijackthis.
télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en gras ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.
C:\WINDOWS\ekdia187.exe
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\ekdia147.exe
C:\WINDOWS\ekdia192.exe
C:\WINDOWS\ekdia195.exe
C:\WINDOWS\ekdia191.exe
C:\WINDOWS\ekdia197.exe
C:\WINDOWS\ekdia168.exe
C:\WINDOWS\ekdia101.exe
C:\WINDOWS\ekdia171.exe
C:\WINDOWS\ekdia152.exe
C:\WINDOWS\ekdia114.exe
C:\WINDOWS\ekdia138.exe
C:\WINDOWS\ekdia196.exe
C:\WINDOWS\ekdia154.exe
C:\WINDOWS\erdnt
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
Fais un scan en ligne Kaspersky avec Internet Explorer :
- Clique sur Démarrer Online-Scanner
- Clique maintenant sur J'accepte.
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des Mises à jour.
- Choisis par la suite l'analyse du Poste de travail.
- Sauvegarde puis colle le rapport généré en fin d'analyse.
AIDE : Configurer le contrôle des ActiveX
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
remets aussi un log Hijackthis.
Voici le rapport OTmoveIT :
C:\WINDOWS\ekdia187.exe moved successfully.
C:\WINDOWS\system32\tmp.reg moved successfully.
C:\WINDOWS\ekdia147.exe moved successfully.
C:\WINDOWS\ekdia192.exe moved successfully.
C:\WINDOWS\ekdia195.exe moved successfully.
C:\WINDOWS\ekdia191.exe moved successfully.
C:\WINDOWS\ekdia197.exe moved successfully.
C:\WINDOWS\ekdia168.exe moved successfully.
C:\WINDOWS\ekdia101.exe moved successfully.
C:\WINDOWS\ekdia171.exe moved successfully.
C:\WINDOWS\ekdia152.exe moved successfully.
C:\WINDOWS\ekdia114.exe moved successfully.
C:\WINDOWS\ekdia138.exe moved successfully.
C:\WINDOWS\ekdia196.exe moved successfully.
C:\WINDOWS\ekdia154.exe moved successfully.
Folder move failed. C:\WINDOWS\erdnt\subs\F3M\system scheduled to be moved on reboot.
C:\WINDOWS\erdnt\subs\F3M moved successfully.
C:\WINDOWS\erdnt\subs moved successfully.
C:\WINDOWS\erdnt\23-10-2007\Users\00000002 moved successfully.
C:\WINDOWS\erdnt\23-10-2007\Users\00000001 moved successfully.
C:\WINDOWS\erdnt\23-10-2007\Users moved successfully.
Folder move failed. C:\WINDOWS\erdnt\23-10-2007\system scheduled to be moved on reboot.
Folder move failed. C:\WINDOWS\erdnt\23-10-2007\software scheduled to be moved on reboot.
Folder move failed. C:\WINDOWS\erdnt\23-10-2007\SECURITY scheduled to be moved on reboot.
Folder move failed. C:\WINDOWS\erdnt\23-10-2007\SAM scheduled to be moved on reboot.
Folder move failed. C:\WINDOWS\erdnt\23-10-2007\default scheduled to be moved on reboot.
C:\WINDOWS\erdnt\23-10-2007 moved successfully.
C:\WINDOWS\erdnt moved successfully.
Created on 10/25/2007 00:22:29
Voici maintenant le rapport Kapersky :
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Thursday, October 25, 2007 7:34:49 AM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 25/10/2007
Enregistrements dans la base antivirus Kaspersky : 416825
-------------------------------------------------------------------------------
Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai
Cible de l'analyse - Poste de travail:
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
L:\
M:\
N:\
O:\
Statistiques de l'analyse:
Total d'objets analysés: 141258
Nombre de virus trouvés: 9
Nombre d'objets infectés: 82 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 01:56:05
Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\temp\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\temp\Fichiers Internet temporaires\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\temp\History\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Mickey\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\file\java.class-2fd13b67-3869f033.class Infecté : Exploit.Java.Gimsh.a ignoré
C:\Documents and Settings\Mickey\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\statistic.jar-1b2c29d8-1418e867.zip/BaaaaBaa.class Infecté : Trojan.Java.ClassLoader.ao ignoré
C:\Documents and Settings\Mickey\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\statistic.jar-1b2c29d8-1418e867.zip/VaaaaaaaBaa.class Infecté : Trojan.Java.ClassLoader.ao ignoré
C:\Documents and Settings\Mickey\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\statistic.jar-1b2c29d8-1418e867.zip/Baaaaa.class Infecté : Trojan.Java.ClassLoader.ao ignoré
C:\Documents and Settings\Mickey\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\statistic.jar-1b2c29d8-1418e867.zip ZIP: infecté - 3 ignoré
C:\Documents and Settings\Mickey\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Mickey\Local Settings\Application Data\Ahead\Nero Home\bl.db L'objet est verrouillé ignoré
C:\Documents and Settings\Mickey\Local Settings\Application Data\Ahead\Nero Home\bl.db-journal L'objet est verrouillé ignoré
C:\Documents and Settings\Mickey\Local Settings\Application Data\Ahead\Nero Home\is2.db L'objet est verrouillé ignoré
C:\Documents and Settings\Mickey\Local Settings\Application Data\Ahead\Nero Home\is2.db-journal L'objet est verrouillé ignoré
C:\Documents and Settings\Mickey\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Mickey\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Mickey\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Mickey\Local Settings\Historique\History.IE5\MSHist012007102520071026\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Mickey\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Mickey\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\Mickey\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\Trend Micro\HijackThis\backups\backup-20071025-002044-582-autorun.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\Program Files\Trend Micro\HijackThis\backups\backup-20071025-002044-768-system.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\qoobox\Quarantine\C\Documents and Settings\Mickey\Menu Démarrer\Programmes\Démarrage\system.exe.vir Infecté : Trojan.Win32.Qhost.pw ignoré
C:\qoobox\Quarantine\C\WINDOWS\system32\printer.exe.vir Infecté : Trojan.Win32.Qhost.pw ignoré
C:\qoobox\Quarantine\C\WINDOWS\system32\WinAvXX.exe.vir Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP414\A0051464.exe Infecté : not-virus:Hoax.Win32.Renos.ne ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP414\A0051480.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP414\A0051482.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP414\A0051483.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP414\A0051491.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP414\A0051492.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP414\A0051493.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0052104.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0052106.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0052107.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0052115.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0052116.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0052121.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0052122.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0052123.exe Infecté : Trojan-Downloader.Win32.Wixud.c ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0052124.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0052125.dll Infecté : not-virus:Hoax.Win32.Renos.lq ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0052138.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0052139.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0052140.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0053166.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0053168.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0053169.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP416\A0053181.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP416\A0053182.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP416\A0053183.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP416\A0054229.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP416\A0054230.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP416\A0054231.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP417\A0055242.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP417\A0055243.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP417\A0055244.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP418\A0055282.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP418\A0055283.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP418\A0055285.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP419\A0055335.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP419\A0055336.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP419\A0055337.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP420\A0055354.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP420\A0055355.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP420\A0055356.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP420\A0055427.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP420\A0055428.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP420\A0055429.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP420\A0055444.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP420\A0055469.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP420\A0055611.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP420\A0055612.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP420\A0055613.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP420\A0055628.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP421\A0055857.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP421\A0055858.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP421\A0055859.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP421\A0055873.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP421\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\EventCache\{6DD3D6CA-A471-4A65-9245-447D9A1E8657}.bin L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\etc\hosts Infecté : Trojan.Win32.Qhost.mg ignoré
C:\WINDOWS\system32\drivers\etc\hosts.msn Infecté : Trojan.Win32.Qhost.my ignoré
C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\printer.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\WinAvXX.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_62c.dat L'objet est verrouillé ignoré
C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
C:\_OTMoveIt\MovedFiles\WINDOWS\ekdia101.exe Infecté : Trojan.Win32.Agent.cht ignoré
C:\_OTMoveIt\MovedFiles\WINDOWS\ekdia114.exe Infecté : Trojan.Win32.Agent.cht ignoré
C:\_OTMoveIt\MovedFiles\WINDOWS\ekdia138.exe Infecté : Trojan.Win32.Agent.cht ignoré
C:\_OTMoveIt\MovedFiles\WINDOWS\ekdia147.exe Infecté : Trojan.Win32.Agent.cht ignoré
C:\_OTMoveIt\MovedFiles\WINDOWS\ekdia152.exe Infecté : Trojan.Win32.Agent.cht ignoré
C:\_OTMoveIt\MovedFiles\WINDOWS\ekdia154.exe Infecté : Trojan.Win32.Agent.cht ignoré
C:\_OTMoveIt\MovedFiles\WINDOWS\ekdia168.exe Infecté : Trojan.Win32.Agent.cht ignoré
C:\_OTMoveIt\MovedFiles\WINDOWS\ekdia171.exe Infecté : Trojan.Win32.Agent.cht ignoré
C:\_OTMoveIt\MovedFiles\WINDOWS\ekdia187.exe Infecté : Trojan.Win32.Agent.cht ignoré
C:\_OTMoveIt\MovedFiles\WINDOWS\ekdia191.exe Infecté : Trojan.Win32.Agent.cht ignoré
C:\_OTMoveIt\MovedFiles\WINDOWS\ekdia192.exe Infecté : Trojan.Win32.Agent.cht ignoré
C:\_OTMoveIt\MovedFiles\WINDOWS\ekdia195.exe Infecté : Trojan.Win32.Agent.cht ignoré
C:\_OTMoveIt\MovedFiles\WINDOWS\ekdia196.exe Infecté : Trojan.Win32.Agent.cht ignoré
C:\_OTMoveIt\MovedFiles\WINDOWS\ekdia197.exe Infecté : Trojan.Win32.Agent.cht ignoré
D:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré
D:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré
D:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré
D:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré
D:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré
D:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
D:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP421\change.log L'objet est verrouillé ignoré
Analyse terminée.
Enfin, le dernier HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:37:23, on 25/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Sporever\Football365 Toolbar\launcher.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Ad-Aware 2007\aawservice.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Sporever\Football365 Toolbar\Football365 Toolbar.exe
C:\Program Files\Fichiers communs\Nosibay\RunningObjectRegistry.exe
C:\WINDOWS\system32\svchost.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
D:\Program Files\Avant Browser\avant.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1036
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Football365 Toolbar] "C:\Program Files\Sporever\Football365 Toolbar\launcher.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: PrintKey 2000 Fr.lnk = C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - https://www.snapfish.fr/2/home
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoways.com/clients/ImageUploader3.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.1.0.56.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553590000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\ekdia187.exe moved successfully.
C:\WINDOWS\system32\tmp.reg moved successfully.
C:\WINDOWS\ekdia147.exe moved successfully.
C:\WINDOWS\ekdia192.exe moved successfully.
C:\WINDOWS\ekdia195.exe moved successfully.
C:\WINDOWS\ekdia191.exe moved successfully.
C:\WINDOWS\ekdia197.exe moved successfully.
C:\WINDOWS\ekdia168.exe moved successfully.
C:\WINDOWS\ekdia101.exe moved successfully.
C:\WINDOWS\ekdia171.exe moved successfully.
C:\WINDOWS\ekdia152.exe moved successfully.
C:\WINDOWS\ekdia114.exe moved successfully.
C:\WINDOWS\ekdia138.exe moved successfully.
C:\WINDOWS\ekdia196.exe moved successfully.
C:\WINDOWS\ekdia154.exe moved successfully.
Folder move failed. C:\WINDOWS\erdnt\subs\F3M\system scheduled to be moved on reboot.
C:\WINDOWS\erdnt\subs\F3M moved successfully.
C:\WINDOWS\erdnt\subs moved successfully.
C:\WINDOWS\erdnt\23-10-2007\Users\00000002 moved successfully.
C:\WINDOWS\erdnt\23-10-2007\Users\00000001 moved successfully.
C:\WINDOWS\erdnt\23-10-2007\Users moved successfully.
Folder move failed. C:\WINDOWS\erdnt\23-10-2007\system scheduled to be moved on reboot.
Folder move failed. C:\WINDOWS\erdnt\23-10-2007\software scheduled to be moved on reboot.
Folder move failed. C:\WINDOWS\erdnt\23-10-2007\SECURITY scheduled to be moved on reboot.
Folder move failed. C:\WINDOWS\erdnt\23-10-2007\SAM scheduled to be moved on reboot.
Folder move failed. C:\WINDOWS\erdnt\23-10-2007\default scheduled to be moved on reboot.
C:\WINDOWS\erdnt\23-10-2007 moved successfully.
C:\WINDOWS\erdnt moved successfully.
Created on 10/25/2007 00:22:29
Voici maintenant le rapport Kapersky :
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Thursday, October 25, 2007 7:34:49 AM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 25/10/2007
Enregistrements dans la base antivirus Kaspersky : 416825
-------------------------------------------------------------------------------
Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai
Cible de l'analyse - Poste de travail:
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
L:\
M:\
N:\
O:\
Statistiques de l'analyse:
Total d'objets analysés: 141258
Nombre de virus trouvés: 9
Nombre d'objets infectés: 82 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 01:56:05
Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\temp\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\temp\Fichiers Internet temporaires\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\temp\History\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Mickey\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\file\java.class-2fd13b67-3869f033.class Infecté : Exploit.Java.Gimsh.a ignoré
C:\Documents and Settings\Mickey\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\statistic.jar-1b2c29d8-1418e867.zip/BaaaaBaa.class Infecté : Trojan.Java.ClassLoader.ao ignoré
C:\Documents and Settings\Mickey\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\statistic.jar-1b2c29d8-1418e867.zip/VaaaaaaaBaa.class Infecté : Trojan.Java.ClassLoader.ao ignoré
C:\Documents and Settings\Mickey\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\statistic.jar-1b2c29d8-1418e867.zip/Baaaaa.class Infecté : Trojan.Java.ClassLoader.ao ignoré
C:\Documents and Settings\Mickey\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\statistic.jar-1b2c29d8-1418e867.zip ZIP: infecté - 3 ignoré
C:\Documents and Settings\Mickey\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Mickey\Local Settings\Application Data\Ahead\Nero Home\bl.db L'objet est verrouillé ignoré
C:\Documents and Settings\Mickey\Local Settings\Application Data\Ahead\Nero Home\bl.db-journal L'objet est verrouillé ignoré
C:\Documents and Settings\Mickey\Local Settings\Application Data\Ahead\Nero Home\is2.db L'objet est verrouillé ignoré
C:\Documents and Settings\Mickey\Local Settings\Application Data\Ahead\Nero Home\is2.db-journal L'objet est verrouillé ignoré
C:\Documents and Settings\Mickey\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Mickey\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Mickey\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Mickey\Local Settings\Historique\History.IE5\MSHist012007102520071026\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Mickey\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Mickey\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\Mickey\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\Trend Micro\HijackThis\backups\backup-20071025-002044-582-autorun.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\Program Files\Trend Micro\HijackThis\backups\backup-20071025-002044-768-system.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\qoobox\Quarantine\C\Documents and Settings\Mickey\Menu Démarrer\Programmes\Démarrage\system.exe.vir Infecté : Trojan.Win32.Qhost.pw ignoré
C:\qoobox\Quarantine\C\WINDOWS\system32\printer.exe.vir Infecté : Trojan.Win32.Qhost.pw ignoré
C:\qoobox\Quarantine\C\WINDOWS\system32\WinAvXX.exe.vir Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP414\A0051464.exe Infecté : not-virus:Hoax.Win32.Renos.ne ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP414\A0051480.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP414\A0051482.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP414\A0051483.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP414\A0051491.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP414\A0051492.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP414\A0051493.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0052104.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0052106.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0052107.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0052115.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0052116.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0052121.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0052122.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0052123.exe Infecté : Trojan-Downloader.Win32.Wixud.c ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0052124.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0052125.dll Infecté : not-virus:Hoax.Win32.Renos.lq ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0052138.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0052139.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0052140.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0053166.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0053168.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP415\A0053169.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP416\A0053181.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP416\A0053182.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP416\A0053183.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP416\A0054229.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP416\A0054230.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP416\A0054231.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP417\A0055242.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP417\A0055243.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP417\A0055244.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP418\A0055282.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP418\A0055283.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP418\A0055285.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP419\A0055335.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP419\A0055336.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP419\A0055337.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP420\A0055354.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP420\A0055355.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP420\A0055356.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP420\A0055427.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP420\A0055428.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP420\A0055429.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP420\A0055444.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP420\A0055469.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP420\A0055611.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP420\A0055612.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP420\A0055613.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP420\A0055628.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP421\A0055857.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP421\A0055858.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP421\A0055859.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP421\A0055873.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP421\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\EventCache\{6DD3D6CA-A471-4A65-9245-447D9A1E8657}.bin L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\etc\hosts Infecté : Trojan.Win32.Qhost.mg ignoré
C:\WINDOWS\system32\drivers\etc\hosts.msn Infecté : Trojan.Win32.Qhost.my ignoré
C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\printer.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\WinAvXX.exe Infecté : Trojan.Win32.Qhost.pw ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_62c.dat L'objet est verrouillé ignoré
C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
C:\_OTMoveIt\MovedFiles\WINDOWS\ekdia101.exe Infecté : Trojan.Win32.Agent.cht ignoré
C:\_OTMoveIt\MovedFiles\WINDOWS\ekdia114.exe Infecté : Trojan.Win32.Agent.cht ignoré
C:\_OTMoveIt\MovedFiles\WINDOWS\ekdia138.exe Infecté : Trojan.Win32.Agent.cht ignoré
C:\_OTMoveIt\MovedFiles\WINDOWS\ekdia147.exe Infecté : Trojan.Win32.Agent.cht ignoré
C:\_OTMoveIt\MovedFiles\WINDOWS\ekdia152.exe Infecté : Trojan.Win32.Agent.cht ignoré
C:\_OTMoveIt\MovedFiles\WINDOWS\ekdia154.exe Infecté : Trojan.Win32.Agent.cht ignoré
C:\_OTMoveIt\MovedFiles\WINDOWS\ekdia168.exe Infecté : Trojan.Win32.Agent.cht ignoré
C:\_OTMoveIt\MovedFiles\WINDOWS\ekdia171.exe Infecté : Trojan.Win32.Agent.cht ignoré
C:\_OTMoveIt\MovedFiles\WINDOWS\ekdia187.exe Infecté : Trojan.Win32.Agent.cht ignoré
C:\_OTMoveIt\MovedFiles\WINDOWS\ekdia191.exe Infecté : Trojan.Win32.Agent.cht ignoré
C:\_OTMoveIt\MovedFiles\WINDOWS\ekdia192.exe Infecté : Trojan.Win32.Agent.cht ignoré
C:\_OTMoveIt\MovedFiles\WINDOWS\ekdia195.exe Infecté : Trojan.Win32.Agent.cht ignoré
C:\_OTMoveIt\MovedFiles\WINDOWS\ekdia196.exe Infecté : Trojan.Win32.Agent.cht ignoré
C:\_OTMoveIt\MovedFiles\WINDOWS\ekdia197.exe Infecté : Trojan.Win32.Agent.cht ignoré
D:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré
D:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré
D:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré
D:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré
D:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré
D:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
D:\System Volume Information\_restore{ACF4FA72-8E04-4E0B-AF34-4CC84E5AE807}\RP421\change.log L'objet est verrouillé ignoré
Analyse terminée.
Enfin, le dernier HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:37:23, on 25/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Sporever\Football365 Toolbar\launcher.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Ad-Aware 2007\aawservice.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Sporever\Football365 Toolbar\Football365 Toolbar.exe
C:\Program Files\Fichiers communs\Nosibay\RunningObjectRegistry.exe
C:\WINDOWS\system32\svchost.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
D:\Program Files\Avant Browser\avant.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1036
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Football365 Toolbar] "C:\Program Files\Sporever\Football365 Toolbar\launcher.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: PrintKey 2000 Fr.lnk = C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - https://www.snapfish.fr/2/home
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoways.com/clients/ImageUploader3.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.1.0.56.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553590000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
Bonjour,
pas tant que ça, une grosse partie est dans la restauration système (et si tu as eu 1 fichier infecté et que tu as fait 30 restauration, tu te retyrouves avec 31 fichiers infectés).
Par contre, tu as une infection dans la console java.
Ouvre ce lien :
https://www.java.com/fr/download/manual.jsp
Choisis la première ligne de téléchargement puis installe java.
En fin d'installation, revient sur la page pour vérifier ton installation.
Quand l'installation a réussi, ouvre le panneau de configuration, Ajout/suppression de programmes et supprime
J2SE Runtime Environment Version 5.0 Update xx et toutes les autres version de java.
Mets a jour la base virale de avast et fait un scan minutieux sur la totalité du poste de travail.
S'il reste dans un nombre de lignes raisonnables, poste le rapport. Sinon, donne les grandes lignes.
Enfin, tu relances combofix et tu postes le rapport avec un nouveau rapport Hijackthis.
pas tant que ça, une grosse partie est dans la restauration système (et si tu as eu 1 fichier infecté et que tu as fait 30 restauration, tu te retyrouves avec 31 fichiers infectés).
Par contre, tu as une infection dans la console java.
Ouvre ce lien :
https://www.java.com/fr/download/manual.jsp
Choisis la première ligne de téléchargement puis installe java.
En fin d'installation, revient sur la page pour vérifier ton installation.
Quand l'installation a réussi, ouvre le panneau de configuration, Ajout/suppression de programmes et supprime
J2SE Runtime Environment Version 5.0 Update xx et toutes les autres version de java.
Mets a jour la base virale de avast et fait un scan minutieux sur la totalité du poste de travail.
S'il reste dans un nombre de lignes raisonnables, poste le rapport. Sinon, donne les grandes lignes.
Enfin, tu relances combofix et tu postes le rapport avec un nouveau rapport Hijackthis.
Salut,
Avast s'est enfin terminé. Je ne sais pas comment on poste le rapport. De toutes façons, il n'y avait que trois lignes (dont deux concernaient Java) et elles ont toutes été supprimées avec succès !!!
je te joins le combofix :
ComboFix 07-10-23.1 - Mickey 2007-10-26 1:01:32.6 - NTFSx86
Microsoft Windows XP dition familiale 5.1.2600.2.1252.1.1036.18.442 [GMT 2:00]
Running from: C:\Documents and Settings\Mickey\Bureau\programmes antivir\ComboFix.exe
.
((((((((((((((((((((((((((((( Fichiers créés 2007-09-25 to 2007-10-25 ))))))))))))))))))))))))))))))))))))
.
2007-10-25 00:31 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-10-23 23:55 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2007-10-23 23:55 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-10-23 23:53 <REP> d-------- C:\WINDOWS\Internet Logs
2007-10-23 10:28 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-23 05:48 <REP> d-------- C:\Program Files\RapeLay
2007-10-23 05:34 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-10-23 05:34 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-10-23 05:34 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-10-23 05:34 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-10-23 05:34 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-10-21 03:48 <REP> d-------- C:\Program Files\SCRABBLE© Interactive 2007 EDITION
2007-10-21 03:20 <REP> d-------- C:\Program Files\eXperience112
2007-10-21 03:20 <REP> d-------- C:\Documents and Settings\Mickey\Application Data\InstallShield
2007-10-20 20:25 <REP> d-------- C:\Documents and Settings\Mickey\Application Data\Grisoft
2007-10-20 20:24 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-10-20 20:18 <REP> d-------- C:\Program Files\Lavasoft
2007-10-20 17:51 <REP> d-------- C:\Program Files\Trend Micro
2007-10-20 17:39 <REP> d-------- C:\Program Files\Navilog1
2007-10-19 15:40 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Avant Profiles
2007-10-19 15:36 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2007-10-19 15:36 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2007-10-19 15:36 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2007-10-19 15:36 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2007-10-19 15:36 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2007-10-19 15:36 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2007-10-19 15:36 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2007-10-19 09:18 <REP> d-------- C:\Program Files\Ad-Aware 2007
2007-10-14 08:44 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
2007-10-14 08:44 1,124,720 --a------ C:\WINDOWS\system32\D3DCompiler_34.dll
2007-10-14 08:44 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll
2007-10-14 08:44 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll
2007-10-14 08:44 18,280 --a------ C:\WINDOWS\system32\x3daudio1_2.dll
2007-10-09 09:05 <REP> d-------- C:\WINDOWS\system32\AGEIA
2007-10-09 09:04 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-10-09 09:04 <REP> d-------- C:\Program Files\AGEIA Technologies
2007-10-01 23:04 <REP> d-------- C:\Program Files\EA GAMES
2007-09-27 06:41 <REP> d-------- C:\Program Files\Obscure2
2007-09-26 19:54 <REP> d-------- C:\Program Files\ChessBase
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-25 14:41 --------- d-----w C:\Program Files\Java
2007-10-24 18:53 --------- d-----w C:\Program Files\HomePlayer1.5.0.2
2007-10-23 15:43 --------- d-----w C:\Documents and Settings\Mickey\Application Data\Sports Interactive
2007-10-21 02:11 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-10-21 02:11 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-10-21 02:11 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-10-21 01:50 --------- d-----w C:\Program Files\SCRABBLE® Interactive 2007 EDITION
2007-10-21 01:20 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-10-14 06:40 --------- d-----w C:\Program Files\Activision
2007-10-02 15:06 --------- d-----w C:\Program Files\Sierra
2007-10-02 07:49 --------- d-----w C:\Program Files\La Malédiction de Judas
2007-09-27 16:35 --------- d--h--w C:\Program Files\avant browser
2007-09-23 01:06 --------- d-----w C:\Program Files\Real Alternative
2007-09-23 01:06 --------- d-----w C:\Program Files\QuickPar
2007-09-23 01:06 --------- d-----w C:\Program Files\Cdiscount photos
2007-09-17 21:08 --------- d-----w C:\Documents and Settings\Mickey\Application Data\Xfire
2007-09-17 20:54 --------- d-----w C:\Program Files\Xfire
2007-09-17 10:36 --------- d-----w C:\Program Files\World Poker Championship
2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-09-06 10:05 94,416 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-09-06 10:05 92,848 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-09-06 10:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-09-06 10:02 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-09-06 10:00 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2007-09-06 10:00 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-09-05 15:27 --------- d-----w C:\Documents and Settings\NetworkService\Application Data\Xfire
2007-09-02 22:49 --------- d-----w C:\Program Files\PrintKey 2000 Fr
2007-08-27 11:40 --------- d-----w C:\Program Files\FLV Player
2007-08-21 06:17 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2006-11-17 19:59 81,920 ----a-w C:\Documents and Settings\Mickey\Application Data\ezpinst.exe
2006-11-17 19:59 47,360 ----a-w C:\Documents and Settings\Mickey\Application Data\pcouffin.sys
2006-05-28 16:46 397,306 --sha-r C:\Program Files\wunauclt.zip
2006-05-28 16:46 397,306 --sha-r C:\Program Files\wunauclt.tbe
.
((((((((((((((((((((((((((((( snapshot_2007-10-24_ 9.01.30,57 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-04-23 20:50:37 24,670 ----a-w C:\WINDOWS\system32\java.exe
+ 2007-09-24 20:30:28 135,168 ----a-w C:\WINDOWS\system32\java.exe
- 2007-04-23 20:50:37 28,768 ----a-w C:\WINDOWS\system32\javaw.exe
+ 2007-09-24 20:30:30 135,168 ----a-w C:\WINDOWS\system32\javaw.exe
+ 2007-09-24 21:31:42 139,264 ----a-w C:\WINDOWS\system32\javaws.exe
+ 2005-05-16 17:34:48 213,048 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll
+ 2006-03-20 11:17:24 65,536 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
+ 2006-03-20 11:17:20 798,720 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll
+ 2007-10-25 14:22:23 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_628.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 15:21 C:\WINDOWS\system32\HdAShCut.exe]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2005-05-20 03:11]
"SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2005-09-07 15:35]
"avast!"="D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]
"SetDefPrt"="C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 18:02]
"ControlCenter2.0"="C:\Program Files\Brother\ControlCenter2\brctrcen.exe" [2005-07-19 12:36]
"SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22]
"PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 19:17]
"IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 19:30]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-10-25 19:58]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2006-10-30 10:36]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2006-11-12 12:48]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" []
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 14:00]
"Football365 Toolbar"="C:\Program Files\Sporever\Football365 Toolbar\launcher.exe" [2007-01-05 18:57]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 13:55]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 20:04]
C:\Documents and Settings\Mickey\Menu D‚marrer\Programmes\D‚marrage\
PrintKey 2000 Fr.lnk - C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe [2001-06-25 21:14:14]
R3 AEAudioService;AEAudio Service;C:\WINDOWS\system32\drivers\AEAudio.sys
R3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys
S1 vcdrom;Virtual CD-ROM Device Driver;\??\C:\Documents and Settings\Mickey\Bureau\VCdRom.sys
.
**************************************************************************
catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-26 01:04:34
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2007-10-26 1:05:17
C:\ComboFix2.txt ... 2007-10-25 16:39
C:\ComboFix3.txt ... 2007-10-24 22:59
.
--- E O F ---
et enfin le HijackThis ::
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:09:51, on 26/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Program Files\Ad-Aware 2007\aawservice.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Sporever\Football365 Toolbar\launcher.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Sporever\Football365 Toolbar\Football365 Toolbar.exe
C:\Program Files\Fichiers communs\Nosibay\RunningObjectRegistry.exe
C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
D:\Program Files\Avant Browser\avant.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1036
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Football365 Toolbar] "C:\Program Files\Sporever\Football365 Toolbar\launcher.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: PrintKey 2000 Fr.lnk = C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\npjpi160_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\npjpi160_03.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - https://www.snapfish.fr/2/home
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoways.com/clients/ImageUploader3.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.1.0.56.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553590000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
Avast s'est enfin terminé. Je ne sais pas comment on poste le rapport. De toutes façons, il n'y avait que trois lignes (dont deux concernaient Java) et elles ont toutes été supprimées avec succès !!!
je te joins le combofix :
ComboFix 07-10-23.1 - Mickey 2007-10-26 1:01:32.6 - NTFSx86
Microsoft Windows XP dition familiale 5.1.2600.2.1252.1.1036.18.442 [GMT 2:00]
Running from: C:\Documents and Settings\Mickey\Bureau\programmes antivir\ComboFix.exe
.
((((((((((((((((((((((((((((( Fichiers créés 2007-09-25 to 2007-10-25 ))))))))))))))))))))))))))))))))))))
.
2007-10-25 00:31 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-10-23 23:55 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2007-10-23 23:55 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-10-23 23:53 <REP> d-------- C:\WINDOWS\Internet Logs
2007-10-23 10:28 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-23 05:48 <REP> d-------- C:\Program Files\RapeLay
2007-10-23 05:34 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-10-23 05:34 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-10-23 05:34 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-10-23 05:34 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-10-23 05:34 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-10-21 03:48 <REP> d-------- C:\Program Files\SCRABBLE© Interactive 2007 EDITION
2007-10-21 03:20 <REP> d-------- C:\Program Files\eXperience112
2007-10-21 03:20 <REP> d-------- C:\Documents and Settings\Mickey\Application Data\InstallShield
2007-10-20 20:25 <REP> d-------- C:\Documents and Settings\Mickey\Application Data\Grisoft
2007-10-20 20:24 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-10-20 20:18 <REP> d-------- C:\Program Files\Lavasoft
2007-10-20 17:51 <REP> d-------- C:\Program Files\Trend Micro
2007-10-20 17:39 <REP> d-------- C:\Program Files\Navilog1
2007-10-19 15:40 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Avant Profiles
2007-10-19 15:36 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2007-10-19 15:36 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2007-10-19 15:36 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2007-10-19 15:36 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2007-10-19 15:36 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2007-10-19 15:36 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2007-10-19 15:36 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2007-10-19 09:18 <REP> d-------- C:\Program Files\Ad-Aware 2007
2007-10-14 08:44 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
2007-10-14 08:44 1,124,720 --a------ C:\WINDOWS\system32\D3DCompiler_34.dll
2007-10-14 08:44 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll
2007-10-14 08:44 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll
2007-10-14 08:44 18,280 --a------ C:\WINDOWS\system32\x3daudio1_2.dll
2007-10-09 09:05 <REP> d-------- C:\WINDOWS\system32\AGEIA
2007-10-09 09:04 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-10-09 09:04 <REP> d-------- C:\Program Files\AGEIA Technologies
2007-10-01 23:04 <REP> d-------- C:\Program Files\EA GAMES
2007-09-27 06:41 <REP> d-------- C:\Program Files\Obscure2
2007-09-26 19:54 <REP> d-------- C:\Program Files\ChessBase
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-25 14:41 --------- d-----w C:\Program Files\Java
2007-10-24 18:53 --------- d-----w C:\Program Files\HomePlayer1.5.0.2
2007-10-23 15:43 --------- d-----w C:\Documents and Settings\Mickey\Application Data\Sports Interactive
2007-10-21 02:11 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-10-21 02:11 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-10-21 02:11 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-10-21 01:50 --------- d-----w C:\Program Files\SCRABBLE® Interactive 2007 EDITION
2007-10-21 01:20 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-10-14 06:40 --------- d-----w C:\Program Files\Activision
2007-10-02 15:06 --------- d-----w C:\Program Files\Sierra
2007-10-02 07:49 --------- d-----w C:\Program Files\La Malédiction de Judas
2007-09-27 16:35 --------- d--h--w C:\Program Files\avant browser
2007-09-23 01:06 --------- d-----w C:\Program Files\Real Alternative
2007-09-23 01:06 --------- d-----w C:\Program Files\QuickPar
2007-09-23 01:06 --------- d-----w C:\Program Files\Cdiscount photos
2007-09-17 21:08 --------- d-----w C:\Documents and Settings\Mickey\Application Data\Xfire
2007-09-17 20:54 --------- d-----w C:\Program Files\Xfire
2007-09-17 10:36 --------- d-----w C:\Program Files\World Poker Championship
2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-09-06 10:05 94,416 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-09-06 10:05 92,848 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-09-06 10:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-09-06 10:02 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-09-06 10:00 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2007-09-06 10:00 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-09-05 15:27 --------- d-----w C:\Documents and Settings\NetworkService\Application Data\Xfire
2007-09-02 22:49 --------- d-----w C:\Program Files\PrintKey 2000 Fr
2007-08-27 11:40 --------- d-----w C:\Program Files\FLV Player
2007-08-21 06:17 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2006-11-17 19:59 81,920 ----a-w C:\Documents and Settings\Mickey\Application Data\ezpinst.exe
2006-11-17 19:59 47,360 ----a-w C:\Documents and Settings\Mickey\Application Data\pcouffin.sys
2006-05-28 16:46 397,306 --sha-r C:\Program Files\wunauclt.zip
2006-05-28 16:46 397,306 --sha-r C:\Program Files\wunauclt.tbe
.
((((((((((((((((((((((((((((( snapshot_2007-10-24_ 9.01.30,57 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-04-23 20:50:37 24,670 ----a-w C:\WINDOWS\system32\java.exe
+ 2007-09-24 20:30:28 135,168 ----a-w C:\WINDOWS\system32\java.exe
- 2007-04-23 20:50:37 28,768 ----a-w C:\WINDOWS\system32\javaw.exe
+ 2007-09-24 20:30:30 135,168 ----a-w C:\WINDOWS\system32\javaw.exe
+ 2007-09-24 21:31:42 139,264 ----a-w C:\WINDOWS\system32\javaws.exe
+ 2005-05-16 17:34:48 213,048 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll
+ 2006-03-20 11:17:24 65,536 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
+ 2006-03-20 11:17:20 798,720 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll
+ 2007-10-25 14:22:23 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_628.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 15:21 C:\WINDOWS\system32\HdAShCut.exe]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2005-05-20 03:11]
"SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2005-09-07 15:35]
"avast!"="D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]
"SetDefPrt"="C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 18:02]
"ControlCenter2.0"="C:\Program Files\Brother\ControlCenter2\brctrcen.exe" [2005-07-19 12:36]
"SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22]
"PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 19:17]
"IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 19:30]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-10-25 19:58]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2006-10-30 10:36]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2006-11-12 12:48]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" []
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 14:00]
"Football365 Toolbar"="C:\Program Files\Sporever\Football365 Toolbar\launcher.exe" [2007-01-05 18:57]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 13:55]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 20:04]
C:\Documents and Settings\Mickey\Menu D‚marrer\Programmes\D‚marrage\
PrintKey 2000 Fr.lnk - C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe [2001-06-25 21:14:14]
R3 AEAudioService;AEAudio Service;C:\WINDOWS\system32\drivers\AEAudio.sys
R3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys
S1 vcdrom;Virtual CD-ROM Device Driver;\??\C:\Documents and Settings\Mickey\Bureau\VCdRom.sys
.
**************************************************************************
catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-26 01:04:34
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2007-10-26 1:05:17
C:\ComboFix2.txt ... 2007-10-25 16:39
C:\ComboFix3.txt ... 2007-10-24 22:59
.
--- E O F ---
et enfin le HijackThis ::
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:09:51, on 26/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Program Files\Ad-Aware 2007\aawservice.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Sporever\Football365 Toolbar\launcher.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Sporever\Football365 Toolbar\Football365 Toolbar.exe
C:\Program Files\Fichiers communs\Nosibay\RunningObjectRegistry.exe
C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
D:\Program Files\Avant Browser\avant.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1036
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Football365 Toolbar] "C:\Program Files\Sporever\Football365 Toolbar\launcher.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: PrintKey 2000 Fr.lnk = C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\npjpi160_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\npjpi160_03.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - https://www.snapfish.fr/2/home
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoways.com/clients/ImageUploader3.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.1.0.56.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553590000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
