[Problème] Sponsored Links (google) + virus

lucas383 -  
 lucas383 -
Bonjour,

Je suis désespéré! je viens a peine de réparer mon ordinateur que je tombe sur un virus qui m'installe un logiciel (AntiSpywareMster). Maintenant, dans Google, j'ai la barre Sponsored Links que je souhaite enlever a tout prix!!
De plus, j'ai des fenetre dans le genre "Error detected" qui apparaissent!!

J'en ai marre!

Je vous remercie de vos réponses! Etant tres peu experimenté je vous demande de m'expliquer la procédure (Hijack ...)
A voir également:

14 réponses

Réponse 1 / 14
Utilisateur anonyme
 

Bonjour/Bonsoir
• Ne pas surfer ailleurs que sur le site
• Couper MSN ou tout autre connexion hormis celle sur le site
• Appliquer exactement et dans l'ordre les procédures indiquées.
Au cas ou plusieurs intervenants se manifestent, en choisir un et un seul.

• Rester devant la machine en rafraichissant souvent le forum pour voir les nouvelles réponses.
• Répondre sans attendre à toutes les questions posées dans l'ordre ou elles ont étés posées
• Etre précis dans les réponses. Ne s'en tenir qu'au sujet et rien qu'au sujet.
A proscrire : le language SMS.

Ne pas quitter tant qu'il n'est pas dit explicitement que le problème est résolu ou qu'il dépasse les compétences de celui ou ceux qui vous aident.
• Ne pas ouvrir plusieurs discussions sur le même sujet sauf si on vous le demande (Problème non résolu. Ca arrive)

• Ne pas s'impatienter. L'analyse d'un rapport et la recherche de solutions appropriées prends un certain temps. Inutile donc de reposter le même message. Nous ne vous oublions pas, nous vous cherchons une solution

• Ne pas oublier : nous sommes bénévoles. Nous mangeons, nous dormons, nous travaillons, nous avons une vie de famille aussi.

• Les procédures qui vont suivre, bien que largement éprouvées, sont mises en oeuvre aux risques et périls du possesseur de la machine.


Préparation de la machine
• Vider la corbeille
• Fermer toutes les applications

================ PareFeu XP - Vista ===================
• Si un autre pare-feu que celui de windows est installé, vérifier qu'il est actif et passer à l'étape CCleaner

• Sinon

pour activer/désactiver le Pare-feu Vista
pour activer/désactiver le Pare-feu Xp le Pare-feu XP

• Activer le pare-Feu si ce n'est déjà fait

===================== CCLEANER ========================
Pour le petit coup de polish.
• Appliquer la procédure ci-dessous.
• l'outil pourra être conservé pour faire le ménage de temps en temps en appliquant la même procédure.

• Télécharger CCLeaner et l'installer sur le bureau en refusant l'installation de la barre Yahoo.
• Fermer toutes les applications
• Lancer CCLeaner
S'il n'est pas en Français cliquer sur Options, Setting, Language et sélectionner Français
• cocher dans le menu Nettoyeur - onglet Windows :
Internet Explorer: Fichiers Internet Temporaires, Cookies
• Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
• Avancé: Vieilles données du Prefetch
• Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
• Cocher dans le menu Nettoyeur - onglet Applications : Internet: Sun Java
• Cocher , si cela est possible, dans le menu Nettoyeur - onglet Applications :
Firefox/Mozilla: Cache Internet, Cookies
• Click sur Analyse
• Click sur le bouton Lancer le nettoyage dans le menu Nettoyeur.
• Click sur Registre
• Sélectionner tout
• Click sur Chercher des erreurs (En bas)

Une fois le scan terminé sélectionner tout
• Click sur Réparer les erreurs sélectionnées


==================== HIJACKTHIS ======================

HijackThis

• Télécharger HijackThis
• Installer HijackThis en se laissant guider (Accepter le répertoire proposé sans rien changer)
• Fermer HijackThis
• Télécharger sur le bureau HJTNew (Si le Pare-Feu ou l'Anti-virus se manifeste, Ignorer)
• Fermer toutes les applications
• Se débrancher d'Internet (Enlever le cable, c'est encore la meilleure solution)
• Lancer HJTNew.exe (Si le Pare-Feu ou l'Anti-virus se manifeste, Ignorer)
Ne pas s'étonner pour HJTNew, rien ne s'affiche, juste une fenêtre qui s'ouvre et se ferme aussitôt. C'est normal.
• Click sur Do a system scan and save a logfile
• Copier/Coller le rapport dans le prochain message
• Supprimer HJTNew.exe (sinon l'Anti-virus risque de se manifester souvent) puis
• Attendre les instructions
_

==================== ATTENTION ======================
La procédure ci-dessus n'est destinée qu'à préparer la machine.
Aucune désinfection n'a été faite pour l'instant.
0
Réponse 2 / 14
lucas383
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:30:51, on 02/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Network Monitor\netmon.exe
D:\WINDOWS\system32\ctfmon.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\WINDOWS\system32\ocntqkdm.exe
D:\WINDOWS\system32\jpwnw64k.exe
D:\WINDOWS\system32\wpabaln.exe
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\WINDOWS\system32\wuauclt.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Program Files\Trend Micro\HijackThis\MonJack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {7fc4f88a-6a9f-4d80-a82f-ea6b279bf6be} - D:\WINDOWS\system32\avtbirua.dll
O2 - BHO: (no name) - {A6C54318-5AC7-477D-B0A7-49AF5189300C} - D:\WINDOWS\system32\byXQJDvT.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {D9E08935-F743-4C6D-BE94-762E0C8F0C15} - D:\WINDOWS\system32\fccaXPig.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [{A9-9A-AB-BE-DW}] D:\WINDOWS\system32\jpwnw64k.exe DWram
O4 - HKLM\..\Run: [ExploreUpdSched] D:\WINDOWS\system32\ocntqkdm.exe DWram
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Deewoo.lnk = D:\WINDOWS\system32\ocntqkdm.exe
O4 - Startup: DW_Start.lnk = D:\WINDOWS\system32\jpwnw64k.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: byXQJDvT - D:\WINDOWS\SYSTEM32\byXQJDvT.dll
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Network Monitor - Unknown owner - D:\Program Files\Network Monitor\netmon.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 3 / 14
Utilisateur anonyme
 
+CCl
+HJT
SDFix
SmitFraudFix
---------------------------- Ne pas tenir compte des lignes ci-dessus

======================== SDFIX ========================

• Télécharger SDFix sur le bureau
• Double-Click sur le fichier SDFix.EXE et se laisser guider pour l'installation
• Le programme s'installe dans le répertoire C:\SDFix

Il est indispensable d'effectuer le nettoyage avec SDFix en mode sans échec.
------
• Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
• Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes.

• Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
• Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
-------
• Une fois en mode sans échec, cliquer sur le menu Démarrer puis Exécuter et coller la commande suivant : C:\SDFix\RunThis.bat
• Taper Y puis appuyer sur la touche Entrée du clavier, afin de lancer le nettoyage !
SDFix va procéder au nettoyage, patience...cela peut durer une trentaine de minutes
• Une fenêtre indique que SDFix doit redémarrer l'ordinateur afin de terminer le nettoyage.
-------
• Appuyer sur une touche du clavier pour redémarrer le PC.
• Au redémarrage du PC, SDFix indique que le nettoyage est terminé.
• Appuyer sur une touche du clavier afin d'ouvrir le rapport créé par SDFix.
• Il peut être enregistré si besoin, par exemple si on demande de le poster sur un forum (menu Edition / Enregistrer sous).
• Sans quoi le rapport sera quand même sauvegardé dans le fichier suivant : Report.txt
dans le dossier SDFix (ex : C:\SDFix\Report.txt).

=================== SMITFRAUDFIX ======================

Télécharger SmitfraudFix (de S!ri)


Etape 1 : Recherche

• Mettre le fichier SmitfraudFix.exe, téléchargé préalablement, sur le Bureau Windows.
• Double click sur SmitfraudFix.exe pour lancer l'outil.
• Après l'affichage du menu, taper 1 puis faire Entrée pour rechercher les fichiers responsables de l'infection.
• Copier/Coller le rapport qui se trouve à la racine de la partition système (en général il s'agit de C: ) dans le fichier rapport.txtdans le prochain message


Etape 2 : Nettoyage:

------
• Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
• Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes.

• Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
• Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
-------
• Double click sur SmitfraudFix.exe
• Sélectionner 2 et presser Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
• A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et presser Entrée afin de débloquer
le fond d'écran et supprimer les clés de registre de l'infection.
• Le correctif déterminera si le fichier wininet.dll est infecté.
• A la question: "Corriger le fichier infecté ?" répondre O (oui) et presser Entrée
pour remplacer le fichier corrompu.
• Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage.
Le rapport se trouve à la racine de la partition système (en général il s'agit de C: )
dans le fichier rapport.txt. Le Copier/Coller dans le prochain message. + un rapport HiJackThis

Notes:
1/ Il faut autoriser l'exécution de l'intégralité du script Visual Basic (fichier de type vbs) une
seule fois en cas d'alerte par votre antivirus (pas d'interruption).
2/ process.exe est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus,
mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité
(Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. Site officiel
3/ Sous vista le faire exécuter avec les droits d'administrateur si il y a un souci.

A demain ...........
0
Réponse 4 / 14
lucas383
 
Rapport SDFix:

[b]SDFix: Version 1.178 /b
Run by Lucas on 03/05/2008 at 10:31

Microsoft Windows XP [version 5.1.2600]
Running From: D:\SDFix

[b]Checking Services /b:

[b]Name /b:
Network Monitor

[b]Path /b:
D:\Program Files\Network Monitor\netmon.exe service

Network Monitor - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files /b:

Trojan Files Found:

D:\Documents and Settings\LocalService\Application Data\NetMon\domains.txt - Deleted
D:\Documents and Settings\LocalService\Application Data\NetMon\log.txt - Deleted
D:\Program Files\AntiSpywareMaster\asm.exe - Deleted
D:\WINDOWS\mrofinu1000106.exe - Deleted
D:\WINDOWS\mrofinu572.exe - Deleted
D:\WINDOWS\mrofinu572.exe.tmp - Deleted
D:\Program Files\Network Monitor\netmon.exe - Deleted
D:\WINDOWS\system32\msnav32.ax - Deleted
D:\WINDOWS\system32\pac.txt - Deleted
D:\WINDOWS\system32\rwwnw64d.exe - Deleted
D:\WINDOWS\system32\zxdnt3d.cfg - Deleted
D:\WINDOWS\uninstall_nmon.vbs - Deleted



Folder D:\Program Files\AntiSpywareMaster - Removed
Folder D:\Program Files\Network Monitor - Removed
Folder D:\Documents and Settings\LocalService\Application Data\NetMon - Removed


Removing Temp Files

[b]ADS Check /b:



[b]Final Check /b:

catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-03 10:46:56
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:0000012f
"TracesSuccessful"=dword:00000007

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services /b:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Program Files\\Warcraft III\\Warcraft III.exe"="D:\\Program Files\\Warcraft III\\Warcraft III.exe:*:Enabled:Warcraft III"
"D:\\Program Files\\Warcraft III\\ftinst.tmp\\Warcraft III.exe"="D:\\Program Files\\Warcraft III\\ftinst.tmp\\Warcraft III.exe:*:Enabled:Warcraft III"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[b]Remaining Files /b:


File Backups: - D:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes /b:


[b]Finished!/b

-----------------------------------------------------------------------------

SmitFraudFix:

SmitFraudFix v2.319

Rapport fait à 10:57:54,63, 03/05/2008
Executé à partir de D:\Documents and Settings\Lucas\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\system32\notepad.exe
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\system32\wuauclt.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
d:\windows\system32\rwwnw64d.exe
D:\WINDOWS\system32\ocntqkdm.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» D:\


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\Lucas


»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\Lucas\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» D:\DOCUME~1\Lucas\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» D:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="D:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Contrôleur Fast Ethernet intégré 3Com 3C920 (compatible 3C905C-TX) - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 0.0.0.0

HKLM\SYSTEM\CCS\Services\Tcpip\..\{5545873D-89FC-480D-A933-B2D328B6531F}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5545873D-89FC-480D-A933-B2D328B6531F}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{5545873D-89FC-480D-A933-B2D328B6531F}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

--------------------------------------------------------------------------------------------------------

d:\windows\system32\rwwnw64d.exe
D:\WINDOWS\system32\ocntqkdm.exe

Ces deux fichiers ci demandent sans cesse l'acces a internet! (je bloque tout le temps)

Bon, j'effectue l'étape 2 de SmitFraudFix et je vous tiens au courant!! merci beaucoup!
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 14
lucas383
 
Rapport SDFix:

[b]SDFix: Version 1.178 /b
Run by Lucas on 03/05/2008 at 10:31

Microsoft Windows XP [version 5.1.2600]
Running From: D:\SDFix

[b]Checking Services /b:

[b]Name /b:
Network Monitor

[b]Path /b:
D:\Program Files\Network Monitor\netmon.exe service

Network Monitor - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files /b:

Trojan Files Found:

D:\Documents and Settings\LocalService\Application Data\NetMon\domains.txt - Deleted
D:\Documents and Settings\LocalService\Application Data\NetMon\log.txt - Deleted
D:\Program Files\AntiSpywareMaster\asm.exe - Deleted
D:\WINDOWS\mrofinu1000106.exe - Deleted
D:\WINDOWS\mrofinu572.exe - Deleted
D:\WINDOWS\mrofinu572.exe.tmp - Deleted
D:\Program Files\Network Monitor\netmon.exe - Deleted
D:\WINDOWS\system32\msnav32.ax - Deleted
D:\WINDOWS\system32\pac.txt - Deleted
D:\WINDOWS\system32\rwwnw64d.exe - Deleted
D:\WINDOWS\system32\zxdnt3d.cfg - Deleted
D:\WINDOWS\uninstall_nmon.vbs - Deleted



Folder D:\Program Files\AntiSpywareMaster - Removed
Folder D:\Program Files\Network Monitor - Removed
Folder D:\Documents and Settings\LocalService\Application Data\NetMon - Removed


Removing Temp Files

[b]ADS Check /b:



[b]Final Check /b:

catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-03 10:46:56
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:0000012f
"TracesSuccessful"=dword:00000007

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services /b:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Program Files\\Warcraft III\\Warcraft III.exe"="D:\\Program Files\\Warcraft III\\Warcraft III.exe:*:Enabled:Warcraft III"
"D:\\Program Files\\Warcraft III\\ftinst.tmp\\Warcraft III.exe"="D:\\Program Files\\Warcraft III\\ftinst.tmp\\Warcraft III.exe:*:Enabled:Warcraft III"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[b]Remaining Files /b:


File Backups: - D:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes /b:


[b]Finished!/b

-----------------------------------------------------------------------------

SmitFraudFix:

SmitFraudFix v2.319

Rapport fait à 10:57:54,63, 03/05/2008
Executé à partir de D:\Documents and Settings\Lucas\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\system32\notepad.exe
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\system32\wuauclt.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
d:\windows\system32\rwwnw64d.exe
D:\WINDOWS\system32\ocntqkdm.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» D:\


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\Lucas


»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\Lucas\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» D:\DOCUME~1\Lucas\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» D:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="D:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Contrôleur Fast Ethernet intégré 3Com 3C920 (compatible 3C905C-TX) - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 0.0.0.0

HKLM\SYSTEM\CCS\Services\Tcpip\..\{5545873D-89FC-480D-A933-B2D328B6531F}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5545873D-89FC-480D-A933-B2D328B6531F}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{5545873D-89FC-480D-A933-B2D328B6531F}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

--------------------------------------------------------------------------------------------------------

d:\windows\system32\rwwnw64d.exe
D:\WINDOWS\system32\ocntqkdm.exe

Ces deux fichiers ci demandent sans cesse l'acces a internet! (je bloque tout le temps)

Bon, j'effectue l'étape 2 de SmitFraudFix et je vous tiens au courant!! merci beaucoup!
0
Réponse 6 / 14
lucas383
 
Rapport SDFix:

[b]SDFix: Version 1.178 [/b]
Run by Lucas on 03/05/2008 at 10:31

Microsoft Windows XP [version 5.1.2600]
Running From: D:\SDFix

[b]Checking Services [/b]:

[b]Name [/b]:
Network Monitor

[b]Path [/b]:
D:\Program Files\Network Monitor\netmon.exe service

Network Monitor - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files [/b]:

Trojan Files Found:

D:\Documents and Settings\LocalService\Application Data\NetMon\domains.txt - Deleted
D:\Documents and Settings\LocalService\Application Data\NetMon\log.txt - Deleted
D:\Program Files\AntiSpywareMaster\asm.exe - Deleted
D:\WINDOWS\mrofinu1000106.exe - Deleted
D:\WINDOWS\mrofinu572.exe - Deleted
D:\WINDOWS\mrofinu572.exe.tmp - Deleted
D:\Program Files\Network Monitor\netmon.exe - Deleted
D:\WINDOWS\system32\msnav32.ax - Deleted
D:\WINDOWS\system32\pac.txt - Deleted
D:\WINDOWS\system32\rwwnw64d.exe - Deleted
D:\WINDOWS\system32\zxdnt3d.cfg - Deleted
D:\WINDOWS\uninstall_nmon.vbs - Deleted



Folder D:\Program Files\AntiSpywareMaster - Removed
Folder D:\Program Files\Network Monitor - Removed
Folder D:\Documents and Settings\LocalService\Application Data\NetMon - Removed


Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-03 10:46:56
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:0000012f
"TracesSuccessful"=dword:00000007

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Program Files\\Warcraft III\\Warcraft III.exe"="D:\\Program Files\\Warcraft III\\Warcraft III.exe:*:Enabled:Warcraft III"
"D:\\Program Files\\Warcraft III\\ftinst.tmp\\Warcraft III.exe"="D:\\Program Files\\Warcraft III\\ftinst.tmp\\Warcraft III.exe:*:Enabled:Warcraft III"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[b]Remaining Files [/b]:


File Backups: - D:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:


[b]Finished![/b]

-----------------------------------------------------------------------------

SmitFraudFix:

SmitFraudFix v2.319

Rapport fait à 10:57:54,63, 03/05/2008
Executé à partir de D:\Documents and Settings\Lucas\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\system32\notepad.exe
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\system32\wuauclt.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
d:\windows\system32\rwwnw64d.exe
D:\WINDOWS\system32\ocntqkdm.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» D:\


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\Lucas


»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\Lucas\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» D:\DOCUME~1\Lucas\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» D:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="D:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Contrôleur Fast Ethernet intégré 3Com 3C920 (compatible 3C905C-TX) - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 0.0.0.0

HKLM\SYSTEM\CCS\Services\Tcpip\..\{5545873D-89FC-480D-A933-B2D328B6531F}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5545873D-89FC-480D-A933-B2D328B6531F}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{5545873D-89FC-480D-A933-B2D328B6531F}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

--------------------------------------------------------------------------------------------------------

d:\windows\system32\rwwnw64d.exe
D:\WINDOWS\system32\ocntqkdm.exe

Ces deux fichiers ci demandent sans cesse l'acces a internet! (je bloque tout le temps)

Bon, j'effectue l'étape 2 de SmitFraudFix et je vous tiens au courant!! merci beaucoup!
0
Réponse 7 / 14
lucas383
 
Etape 2:

SmitFraudFix v2.319

Rapport fait à 11:07:22,25, 03/05/2008
Executé à partir de D:\Documents and Settings\Lucas\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{5545873D-89FC-480D-A933-B2D328B6531F}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5545873D-89FC-480D-A933-B2D328B6531F}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{5545873D-89FC-480D-A933-B2D328B6531F}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

--------------------------------------------------------------------------------------------------------------

Rapport HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:15:46, on 03/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\windows\system32\rwwnw64d.exe
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\system32\ocntqkdm.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Program Files\Trend Micro\HijackThis\MonJack.exe
D:\WINDOWS\system32\wpabaln.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {5AE04BCA-1474-485D-9DB9-2D5CDB2C22E2} - D:\WINDOWS\system32\fccaXPig.dll
O2 - BHO: (no name) - {7fc4f88a-6a9f-4d80-a82f-ea6b279bf6be} - D:\WINDOWS\system32\avtbirua.dll
O2 - BHO: (no name) - {A6C54318-5AC7-477D-B0A7-49AF5189300C} - D:\WINDOWS\system32\byXQJDvT.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [{A9-9A-AB-BE-DW}] D:\windows\system32\rwwnw64d.exe DWram
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ExploreUpdSched] D:\WINDOWS\system32\ocntqkdm.exe DWram
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Deewoo.lnk = D:\WINDOWS\system32\ocntqkdm.exe
O4 - Startup: DW_Start.lnk = D:\WINDOWS\system32\rwwnw64d.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: byXQJDvT - D:\WINDOWS\SYSTEM32\byXQJDvT.dll
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 8 / 14
Utilisateur anonyme
 
+CCL
+HJT
+SDFix
+SmitFraudFix
ComboFix
(Event. D:\WINDOWS\system32\byXQJDvT.dll = Vundo-Virtumundo)
(D:\windows\system32\rwwnw64d.exe DWram = SD=
-------------------------------- Ne pas tenir compte des lignes ci-dessus

===================== COMBOFIX =======================
• Imprimer ou sauvegarder avec le bloc-note cette procédure car la suite va se dérouler sans accès à Internet.
• Installer ComboFix sur le bureau
Note :
Le serveur de téléchargement peut être en surcharge et renvoyer une page d'erreur. Il faut insister.
• Renommer COMBOFIX.EXE en COMBO-FIX.EXE
• Sous Windows Vista, désactiver l'UAC. Comment faire ?
------
• Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
• Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes.

• Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
• Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
-------
• Désactiver seulement pendant l'utilisation de ComboFix, la protection de l'antivirus et de l'antispyware ceux-ci pouvant entraver le bon fonctionnement de combofix
• Fermer toutes les applications en cours
• Double-click sur l'icône qui s'est installé sur le bureau
• Appuyer sur la touche 1 puis sur entrée
• Laisser Combofix travailler sans se servir de la machine.
• Si ComboFix a besoin de redémarrer la machine, laisser faire sinon redémarrer en mode normal.
• Copier/Coller le rapport généré dans le bloc-note dans le prochain message + nouveau rapport HiJackThis
(Ce fichier est automatiquement généré et enregistré sous C:\Combofix.txt)

NB : Combofix ne met jamais plus de 20 minutes reboot inclus pour s'effectuer si un malware est détecté.
Si le cas se présente, ouvrir le gestionnaire de tâches (appui sur les touches ctrl, alt et Suppr en même temps)
et tuer les processus findstr, find, sed ou swreg, pour que combofix puisse continuer.
Si cela arrive, l'indiquer ainsi que les noms des processus ayant été tués.
0
Réponse 9 / 14
lucas383
 
Rapport ComboFix:

ComboFix 08-05-01.3 - Lucas 2008-05-03 11:46:41.1 - NTFSx86 MINIMAL
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.412 [GMT 2:00]
Endroit: D:\Documents and Settings\Lucas\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\Documents and Settings\NetworkService\Application Data\NetMon
D:\Documents and Settings\NetworkService\Application Data\NetMon\domains.txt
D:\Documents and Settings\NetworkService\Application Data\NetMon\log.txt
D:\WINDOWS\pskt.ini
D:\WINDOWS\system32\avtbirua.dll
D:\WINDOWS\system32\awttqnKB.dll
D:\WINDOWS\system32\bcudhchb.ini
D:\WINDOWS\system32\bhchducb.dll
D:\WINDOWS\system32\byXQJDvT.dll
D:\WINDOWS\system32\fccaXPig.dll
D:\WINDOWS\system32\giPXaccf.ini
D:\WINDOWS\system32\giPXaccf.ini2
D:\WINDOWS\system32\j7
D:\WINDOWS\system32\j7\binx12l.exe
D:\WINDOWS\system32\khfETlKb.dll
D:\WINDOWS\system32\lcgnnvub.dll
D:\WINDOWS\system32\msnav32.ax
D:\WINDOWS\system32\n4
D:\WINDOWS\system32\n4\evb5ui.exe
D:\WINDOWS\system32\ooogpfyu.ini
D:\WINDOWS\system32\qouhqlwk.dll
D:\WINDOWS\system32\topnuvqv.dll
D:\WINDOWS\system32\ymbols~1
D:\WINDOWS\system32\zxdnt3d.cfg

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CMDSERVICE


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-03 to 2008-05-03 ))))))))))))))))))))))))))))))))))))
.

2008-05-03 11:55 . 2008-05-03 11:55 21 --a------ D:\WINDOWS\system32\zxdnt3d.cfg
2008-05-03 10:58 . 2008-05-03 11:07 628 --a------ D:\WINDOWS\system32\tmp.reg
2008-05-03 10:57 . 2007-09-06 00:22 289,144 --a------ D:\WINDOWS\system32\VCCLSID.exe
2008-05-03 10:57 . 2006-04-27 17:49 288,417 --a------ D:\WINDOWS\system32\SrchSTS.exe
2008-05-03 10:57 . 2008-04-24 08:10 86,528 --a------ D:\WINDOWS\system32\VACFix.exe
2008-05-03 10:57 . 2008-04-28 08:03 82,944 --a------ D:\WINDOWS\system32\IEDFix.exe
2008-05-03 10:57 . 2008-04-28 08:03 82,944 --a------ D:\WINDOWS\system32\404Fix.exe
2008-05-03 10:57 . 2003-06-05 21:13 53,248 --a------ D:\WINDOWS\system32\Process.exe
2008-05-03 10:57 . 2004-07-31 18:50 51,200 --a------ D:\WINDOWS\system32\dumphive.exe
2008-05-03 10:57 . 2007-10-04 00:36 25,600 --a------ D:\WINDOWS\system32\WS2Fix.exe
2008-05-03 10:54 . 2008-05-03 10:54 49,181 --a------ D:\WINDOWS\system32\rwwnw64d.exe
2008-05-03 10:24 . 2008-05-03 10:24 <REP> d-------- D:\WINDOWS\ERUNT
2008-05-03 10:12 . 2008-05-03 10:52 <REP> d-------- D:\SDFix
2008-05-02 23:21 . 2008-05-02 23:21 <REP> d-------- D:\Program Files\Yahoo!
2008-05-02 23:20 . 2008-05-02 23:22 <REP> d-------- D:\Program Files\CCleaner
2008-05-02 23:10 . 2008-05-03 11:42 292,896 --ahs---- D:\WINDOWS\system32\drivers\fidbox.dat
2008-05-02 23:10 . 2008-05-03 11:42 4,256 --ahs---- D:\WINDOWS\system32\drivers\fidbox.idx
2008-05-02 23:05 . 2008-05-02 23:05 <REP> d-------- D:\Documents and Settings\All Users\Application Data\MailFrontier
2008-05-02 23:04 . 2008-04-02 21:07 75,248 --a------ D:\WINDOWS\zllsputility.exe
2008-05-02 23:04 . 2008-04-02 21:08 54,672 --a------ D:\WINDOWS\system32\vsutil_loc040c.dll
2008-05-02 23:04 . 2008-04-02 21:08 42,384 --a------ D:\WINDOWS\zllsputility_loc040c.dll
2008-05-02 23:04 . 2008-04-02 21:08 21,904 --a------ D:\WINDOWS\system32\imsinstall_loc040c.dll
2008-05-02 23:04 . 2008-04-02 21:08 17,808 --a------ D:\WINDOWS\system32\imslsp_install_loc040c.dll
2008-05-02 23:04 . 2004-04-27 05:40 11,264 --a------ D:\WINDOWS\system32\SpOrder.dll
2008-05-02 23:04 . 2008-05-02 23:08 4,212 ---h----- D:\WINDOWS\system32\zllictbl.dat
2008-05-02 23:03 . 2008-04-02 21:07 1,086,952 --a------ D:\WINDOWS\system32\zpeng24.dll
2008-05-02 23:02 . 2008-05-02 23:04 <REP> d-------- D:\WINDOWS\system32\ZoneLabs
2008-05-02 23:02 . 2008-05-03 11:55 <REP> d-------- D:\WINDOWS\Internet Logs
2008-05-02 23:02 . 2008-05-02 23:02 <REP> d-------- D:\Program Files\Zone Labs
2008-05-02 23:02 . 2008-05-03 11:52 358,382 --a------ D:\WINDOWS\system32\vsconfig.xml
2008-05-02 22:59 . 2008-05-02 22:59 <REP> d-------- D:\Program Files\Trend Micro
2008-05-02 22:47 . 2008-05-02 22:47 1,024 --ah----- D:\Documents and Settings\Default User\NTUSER.DAT.LOG
2008-05-02 22:40 . 2004-08-05 14:00 482,304 --a--c--- D:\WINDOWS\system32\dllcache\pintlgnt.ime
2008-05-02 22:39 . 2004-08-05 14:00 1,875,968 --a--c--- D:\WINDOWS\system32\dllcache\msir3jp.lex
2008-05-02 22:38 . 2004-08-05 14:00 13,463,552 --a--c--- D:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-05-02 22:37 . 2004-08-05 14:00 1,677,824 --a--c--- D:\WINDOWS\system32\dllcache\chsbrkr.dll
2008-05-02 22:36 . 2004-05-13 00:39 876,653 --a--c--- D:\WINDOWS\system32\dllcache\fp4awel.dll
2008-05-02 22:28 . 2008-05-02 22:28 749 -rah----- D:\WINDOWS\WindowsShell.Manifest
2008-05-02 22:28 . 2008-05-02 22:28 749 -rah----- D:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-05-02 22:28 . 2008-05-02 22:28 749 -rah----- D:\WINDOWS\system32\sapi.cpl.manifest
2008-05-02 22:28 . 2008-05-02 22:28 749 -rah----- D:\WINDOWS\system32\ncpa.cpl.manifest
2008-05-02 22:28 . 2008-05-02 22:28 488 -rah----- D:\WINDOWS\system32\logonui.exe.manifest
2008-05-02 22:11 . 2004-08-05 14:00 1,086,058 -ra------ D:\WINDOWS\SET77.tmp
2008-05-02 22:11 . 2004-08-05 14:00 1,014,836 -ra------ D:\WINDOWS\SET74.tmp
2008-05-02 22:11 . 2004-08-05 14:00 14,043 -ra------ D:\WINDOWS\SET83.tmp
2008-05-02 21:37 . 2008-05-02 21:37 399,604 --a------ D:\WINDOWS\system32\g89.exe
2008-05-02 21:37 . 2008-05-02 21:37 49,172 --a------ D:\WINDOWS\system32\jpwnw64k.exe
2008-05-02 21:27 . 2008-05-02 21:28 <REP> d-------- D:\WINDOWS\system32\fr-fr
2008-05-02 21:11 . 2008-05-02 22:58 109,794 --a------ D:\WINDOWS\BMd39f6c2c.xml
2008-05-02 21:06 . 2008-05-02 21:06 88,961 --a------ D:\WINDOWS\system32\mysidesearch_sidebar_uninstall.exe
2008-05-02 21:06 . 2008-05-02 21:06 862 --a------ D:\WINDOWS\system32\winpfz33.sys
2008-05-02 21:05 . 2008-05-02 21:05 298,314 --a------ D:\WINDOWS\system32\gside.exe
2008-05-02 21:05 . 2008-05-02 21:05 200,775 --a------ D:\WINDOWS\system32\ocntqkdm.exe
2008-05-02 21:04 . 2008-05-02 21:04 <REP> d-------- D:\WINDOWS\system32\bkEur01
2008-05-02 21:00 . 2008-05-02 21:00 <REP> d-------- D:\WINDOWS\Sun
2008-05-01 11:04 . 2008-05-02 21:50 <REP> d-------- D:\Program Files\Warcraft III
2008-05-01 10:12 . 2008-05-01 10:13 <REP> d-------- D:\Program Files\Google
2008-04-30 18:05 . 2004-08-05 14:00 1,086,058 -ra------ D:\WINDOWS\SET24.tmp
2008-04-30 18:05 . 2004-08-05 14:00 1,014,836 -ra------ D:\WINDOWS\SET21.tmp
2008-04-30 18:05 . 2004-10-28 03:50 15,304 -ra------ D:\WINDOWS\SET68.tmp
2008-04-30 18:05 . 2004-08-05 14:00 14,043 -ra------ D:\WINDOWS\SET33.tmp
2008-04-30 18:05 . 2004-09-29 21:14 13,249 -ra------ D:\WINDOWS\SET6A.tmp
2008-04-30 18:05 . 2004-10-29 02:42 11,421 -ra------ D:\WINDOWS\SET67.tmp
2008-04-30 18:05 . 2004-08-12 20:12 10,425 -ra------ D:\WINDOWS\SET69.tmp
2008-04-30 18:05 . 2004-10-21 19:09 10,425 -ra------ D:\WINDOWS\SET66.tmp
2008-04-30 18:04 . 2008-05-02 21:32 390,042 --a------ D:\WINDOWS\setupapi.old
2008-04-30 16:21 . 2004-08-05 14:00 221,184 --a------ D:\WINDOWS\system32\wmpns.dll
2008-04-30 16:21 . 2008-05-03 11:56 65,536 --ah----- D:\Documents and Settings\Lucas\ntuser.dat.LOG
2008-04-30 16:20 . 2008-04-30 19:42 <REP> d--h----- D:\Documents and Settings\Lucas\Voisinage r‚seau
2008-04-30 16:20 . 2008-04-30 19:42 <REP> d--h----- D:\Documents and Settings\Lucas\Voisinage d'impression
2008-04-30 16:20 . 2008-04-30 15:56 <REP> d--h----- D:\Documents and Settings\Lucas\ModŠles
2008-04-30 16:20 . 2008-05-02 22:47 <REP> dr------- D:\Documents and Settings\Lucas\Mes documents
2008-04-30 16:20 . 2008-04-30 19:42 <REP> dr------- D:\Documents and Settings\Lucas\Menu D‚marrer
2008-04-30 16:20 . 2008-05-02 22:58 <REP> dr------- D:\Documents and Settings\Lucas\Favoris
2008-04-30 16:20 . 2008-05-03 11:49 <REP> d-------- D:\Documents and Settings\Lucas\Bureau
2008-04-30 16:20 . 2008-05-03 11:41 <REP> d-------- D:\Documents and Settings\Lucas
2008-04-30 16:17 . 2008-04-30 16:17 <REP> d---s---- D:\WINDOWS\system32\Microsoft
2008-04-30 16:17 . 2008-04-30 16:17 <REP> d--hs---- D:\Documents and Settings\LocalService
2008-04-30 16:17 . 2008-05-03 11:54 1,024 --ah----- D:\Documents and Settings\LocalService\ntuser.dat.LOG
2008-04-30 16:16 . 2008-04-30 16:16 <REP> d--hs---- D:\Documents and Settings\NetworkService
2008-04-30 16:16 . 2008-04-30 16:16 8,192 --a------ D:\WINDOWS\REGLOCS.OLD
2008-04-30 16:16 . 2008-05-03 11:52 1,024 --ah----- D:\Documents and Settings\NetworkService\ntuser.dat.LOG
2008-04-30 16:14 . 2008-04-30 19:42 <REP> d--h----- D:\WINDOWS\system32\config\systemprofile\Voisinage r‚seau
2008-04-30 16:14 . 2008-04-30 19:42 <REP> d--h----- D:\WINDOWS\system32\config\systemprofile\Voisinage d'impression
2008-04-30 16:14 . 2008-04-30 15:56 <REP> d--h----- D:\WINDOWS\system32\config\systemprofile\ModŠles
2008-04-30 16:14 . 2008-04-30 19:42 <REP> d-------- D:\WINDOWS\system32\config\systemprofile\Mes documents
2008-04-30 16:14 . 2008-04-30 19:42 <REP> dr------- D:\WINDOWS\system32\config\systemprofile\Menu D‚marrer
2008-04-30 16:14 . 2008-04-30 19:42 <REP> d-------- D:\WINDOWS\system32\config\systemprofile\Favoris
2008-04-30 16:14 . 2008-04-30 19:42 <REP> d-------- D:\WINDOWS\system32\config\systemprofile\Bureau
2008-04-30 16:11 . 2003-03-24 15:52 618,605 --a--c--- D:\WINDOWS\system32\dllcache\fp4autl.dll
2008-04-30 16:09 . 2008-04-30 16:09 <REP> d-------- D:\WINDOWS\system32\xircom
2008-04-30 16:09 . 2008-04-30 16:09 <REP> d-------- D:\Program Files\microsoft frontpage
2008-04-30 16:09 . 2008-04-30 16:08 49,262 --a------ D:\WINDOWS\system32\jpicpl32.cpl
2008-04-30 16:09 . 2002-02-19 17:14 17,638 --a------ D:\WINDOWS\system32\OEMLOGO.BMP
2008-04-30 16:09 . 2001-11-14 10:26 996 --a------ D:\WINDOWS\system32\OEMINFO.INI
2008-04-30 16:08 . 2008-04-30 16:08 <REP> d-------- D:\Program Files\Java
2008-04-30 16:08 . 2008-04-30 16:08 <REP> d-------- D:\Program Files\Fichiers communs\Java
2008-04-30 16:06 . 2008-04-30 16:06 <REP> d-------- D:\WINDOWS\system32\URTTemp
2008-04-30 16:05 . 2008-04-30 16:09 <REP> d-------- D:\WINDOWS\fsc
2008-04-30 16:05 . 2008-04-30 16:09 <REP> d-------- D:\AddOn
2008-04-30 16:04 . 2008-05-02 21:23 <REP> d--h----- D:\WINDOWS\$hf_mig$
2008-04-30 16:04 . 2006-09-06 17:43 22,752 --a------ D:\WINDOWS\system32\spupdsvc.exe
2008-04-30 16:04 . 2008-04-30 16:04 3,072 --a------ D:\WINDOWS\system32\CONFIG.NT
2008-04-30 16:04 . 2008-04-30 16:04 0 --a------ D:\WINDOWS\control.ini
2008-04-30 16:03 . 2008-05-02 22:33 316,640 --a------ D:\WINDOWS\WMSysPr9.prx
2008-04-30 16:03 . 2008-05-02 22:33 23,392 --a------ D:\WINDOWS\system32\nscompat.tlb
2008-04-30 16:03 . 2008-05-02 22:33 16,832 --a------ D:\WINDOWS\system32\amcompat.tlb
2008-04-30 16:01 . 2008-05-02 23:15 <REP> d---s---- D:\WINDOWS\Downloaded Program Files
2008-04-30 16:01 . 2008-04-30 16:03 <REP> d--hs---- D:\Documents and Settings\All Users\DRM
2008-04-30 16:01 . 2008-05-02 22:28 749 -rah----- D:\WINDOWS\system32\nwc.cpl.manifest
2008-04-30 16:01 . 2008-05-02 22:28 749 -rah----- D:\WINDOWS\system32\cdplayer.exe.manifest
2008-04-30 16:01 . 2008-05-02 22:28 488 -rah----- D:\WINDOWS\system32\WindowsLogon.manifest
2008-04-30 16:00 . 2008-04-30 16:00 <REP> d-------- D:\Program Files\Services en ligne
2008-04-30 16:00 . 2004-08-05 14:00 4,399,505 --a--c--- D:\WINDOWS\system32\dllcache\nls302en.lex

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
"swg"="D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-02 20:49 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"{A9-9A-AB-BE-DW}"="D:\windows\system32\rwwnw64d.exe" [2008-05-03 10:54 49181]
"ZoneAlarm Client"="D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-04-02 21:07 919016]
"ExploreUpdSched"="D:\WINDOWS\system32\ocntqkdm.exe" [2008-05-02 21:05 200775]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byXQJDvT]
byXQJDvT.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=


.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-03 11:53:22
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...


D:\WINDOWS\system32\zxdnt3d.cfg 21 bytes

Scan termin‚ avec succŠs
Les fichiers cach‚s: 1

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\system32\wpabaln.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-03 11:58:34 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-03 09:58:23

Pre-Run: 3,614,482,432 octets libres
Post-Run: 3,046,322,176 octets libres

204 --- E O F --- 2008-05-02 21:36:42

------------------------------------------------------------------------------------------------------------------------

Rapport HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:01:38, on 03/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\wscntfy.exe
D:\windows\system32\rwwnw64d.exe
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\WINDOWS\system32\ocntqkdm.exe
D:\WINDOWS\system32\wpabaln.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\WINDOWS\system32\wuauclt.exe
D:\WINDOWS\explorer.exe
D:\WINDOWS\system32\notepad.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Trend Micro\HijackThis\MonJack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [{A9-9A-AB-BE-DW}] D:\windows\system32\rwwnw64d.exe DWram
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Deewoo.lnk = D:\WINDOWS\system32\ocntqkdm.exe
O4 - Startup: DW_Start.lnk = D:\WINDOWS\system32\rwwnw64d.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: byXQJDvT - byXQJDvT.dll (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 10 / 14
lucas383
 
http://img171.imageshack.us/img171/3949/viruszv3.jpg
0
Réponse 11 / 14
Utilisateur anonyme
 
+CCL
+HJT
+SDFix
+SmitFraudFix
+ComboFix
Malwares Bytes
(D:\windows\system32\rwwnw64d.exe DWram = SD=
-------------------------------- Ne pas tenir compte des lignes ci-dessus


================== MalwareBytes =====================

Telecharger MalwareBytes

Le Tutorial

Attention à ce que l'option Executer un examen complet soit cochée

Ne pas oublier de supprimer tout ce que MalwaresByte trouve. Bouton Supprimer la sélection après avoir tout sélectionné

Poster le rapport et un nouveau rapport HiJackThis
0
Réponse 12 / 14
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Bonjour

Il serait nécessaire d'écrire un CFScript pour achever le travail de ComboFix ...

Bon week end
0
Utilisateur anonyme
 
Bonjour (re)

Chaque chose en son temps. Pas de script si MAB fait bien le boulot.
0
Réponse 13 / 14
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Re

Je doute que MAB soit aussi efficace qu'un CFScript, mais je reste dans le coin pour suivre ;)

Salut.
0
Réponse 14 / 14
lucas383
 
Malwarebytes' Anti-Malware 1.11
Version de la base de données: 710

Type de recherche: Examen complet (D:\|)
Eléments examinés: 44864
Temps écoulé: 37 minute(s), 23 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 33

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Interface\{1e404d48-670a-4085-a6a0-d195793ddd33} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{9f593aac-ca4c-4a41-a7ff-a00812192d61} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{749ec66f-a838-4b38-b8e5-e65d905fff74} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{A9-9A-AB-BE-DW} (Adware.ZeroSearch) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
D:\WINDOWS\system32\rwwnw64d.exe (Adware.ZeroSearch) -> Quarantined and deleted successfully.
D:\QooBox\Quarantine\D\WINDOWS\system32\awttqnKB.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
D:\QooBox\Quarantine\D\WINDOWS\system32\byXQJDvT.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
D:\QooBox\Quarantine\D\WINDOWS\system32\khfETlKb.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
D:\QooBox\Quarantine\D\WINDOWS\system32\j7\binx12l.exe.vir (Adware.ZeroSearch) -> Quarantined and deleted successfully.
D:\QooBox\Quarantine\D\WINDOWS\system32\n4\evb5ui.exe.vir (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{53948ABF-B814-4368-AFD0-4DABDFBC965B}\RP1\A0000015.exe (Adware.BHO) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{53948ABF-B814-4368-AFD0-4DABDFBC965B}\RP1\A0000016.dll (Adware.BHO) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{53948ABF-B814-4368-AFD0-4DABDFBC965B}\RP1\A0000018.exe (Adware.Rotator) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{53948ABF-B814-4368-AFD0-4DABDFBC965B}\RP1\A0000020.dll (Adware.TargetSaver) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{53948ABF-B814-4368-AFD0-4DABDFBC965B}\RP1\A0000027.dll (AdWare.CommAd) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{53948ABF-B814-4368-AFD0-4DABDFBC965B}\RP1\A0000028.exe (AdWare.CommAd) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{53948ABF-B814-4368-AFD0-4DABDFBC965B}\RP3\A0001097.exe (Rogue.AntiSpyMaster) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{53948ABF-B814-4368-AFD0-4DABDFBC965B}\RP3\A0001098.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{53948ABF-B814-4368-AFD0-4DABDFBC965B}\RP3\A0001099.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{53948ABF-B814-4368-AFD0-4DABDFBC965B}\RP3\A0001100.exe (Trojan.DNSChanger) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{53948ABF-B814-4368-AFD0-4DABDFBC965B}\RP3\A0001102.exe (Adware.ZeroSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{53948ABF-B814-4368-AFD0-4DABDFBC965B}\RP3\A0001104.vbs (Malware.Trace) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{53948ABF-B814-4368-AFD0-4DABDFBC965B}\RP3\A0001113.exe (Rogue.AntiSpyMaster) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{53948ABF-B814-4368-AFD0-4DABDFBC965B}\RP3\A0001114.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{53948ABF-B814-4368-AFD0-4DABDFBC965B}\RP3\A0001115.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{53948ABF-B814-4368-AFD0-4DABDFBC965B}\RP3\A0001117.exe (Trojan.DNSChanger) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{53948ABF-B814-4368-AFD0-4DABDFBC965B}\RP3\A0001118.exe (Adware.ZeroSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{53948ABF-B814-4368-AFD0-4DABDFBC965B}\RP3\A0001119.vbs (Malware.Trace) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{53948ABF-B814-4368-AFD0-4DABDFBC965B}\RP3\A0001238.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{53948ABF-B814-4368-AFD0-4DABDFBC965B}\RP3\A0001240.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{53948ABF-B814-4368-AFD0-4DABDFBC965B}\RP3\A0001246.exe (Adware.ZeroSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{53948ABF-B814-4368-AFD0-4DABDFBC965B}\RP3\A0001247.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{53948ABF-B814-4368-AFD0-4DABDFBC965B}\RP3\A0001252.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
D:\WINDOWS\system32\jpwnw64k.exe (Adware.ZeroSearch) -> Quarantined and deleted successfully.
D:\WINDOWS\system32\mysidesearch_sidebar_uninstall.exe (Adware.BHO) -> Quarantined and deleted successfully.
D:\WINDOWS\system32\zxdnt3d.cfg. (Adware.ZenoSearch) -> Quarantined and deleted successfully.
D:\WINDOWS\system32\zxdnt3d.cfg (Malware.Trace) -> Quarantined and deleted successfully.

-----------------------------------------------------------------------------------------


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:18:17, on 03/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\WINDOWS\system32\ocntqkdm.exe
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\system32\wuauclt.exe
D:\WINDOWS\system32\wpabaln.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Program Files\Trend Micro\HijackThis\MonJack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ExploreUpdSched] D:\WINDOWS\system32\ocntqkdm.exe DWram
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Deewoo.lnk = D:\WINDOWS\system32\ocntqkdm.exe
O4 - Startup: DW_Start.lnk = D:\WINDOWS\system32\rwwnw64d.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: byXQJDvT - byXQJDvT.dll (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe
0