Tom's Guide > Forum > Sécurité - Virus > Infecté par Look2me

Infecté par Look2me

Forum Sécurité - Virus : Infecté par Look2me

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Créer un nouveau sujet Répondre
Mot :    Pseudo :           
 
xtelle   13-10-2006 à 00:48:50

Bonjour tout le monde,

Et oui c'est miss logiteck qui a un souci. Je suis infectée sur mon laptop par le virus/ver/spyware, Look2me. En gros il m'ouvre des tas de fenêtres publicitaires (souvent antivirus), et j'arrive pas à m'en débarrasser. Pas besoin de vous dire qu'avant de poster j'ai fais des longues recherches, sur des sites comme Symantec, j'ai utilisé de nombreux antispyware, antivirus et hijack This (voir le log ci-dessous), rien à faire. j'ai même installé le programme permettant soit disant de desinfecter Look2me.

A la base je pense avoir chopé un truc via un logiciel P2P (je sais cai mal), comme quoi je vous déconseille les logiciels comme Shareaza ou autres de ce type. Dans mon répertoire Download ça a crée des dossiers et dedans ces dossiers y'avait plus de 10 000 fichiers, portant le nom de logiciel, films... très lèger (environ 110 kb), bref j'ai pu supprimer ça, ainsi qu'une toulbar UCmore (je sais pas si j'ai bien pu tout enlever) mais Look2me persiste.

J'espere sincérement que vous pourrez m'aider...


Logfile of HijackThis v1.99.1
Scan saved at 00:29:11, on 13/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Fichiers communs\{30DD8BD7-031D-1036-0902-040826040021}\Update.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\PROGRA~1\MICROS~3\wcescomm.exe
C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\regedit.exe
C:\Documents and Settings\Xtelle\Bureau\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~3\wcescomm.exe"
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://myxtelle.spaces.msn.com//Ph [...] nPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 4661833148
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/micros [...] 4662041039
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\mivcp71.dll (file missing)
O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\guard.tmp
O20 - Winlogon Notify: Shell Extentions - C:\WINDOWS\
O20 - Winlogon Notify: WebCheck - C:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe


Merci à vous, et faites attention aux logiciels Shareaza et iMesh je suis sure à 200% que ca vient d'eux.

Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
Anonyme   13-10-2006 à 01:18:15
- 0 +

Hello,
en attandant que les pros analysent ça, tu peux deja essayer ce removal :
http://www.f-secure.com/sw-desc/look2me.shtml

Répondre à Anonyme
xtelle   13-10-2006 à 10:33:10
- 0 +

j'ai déjà essayé ce soft de F-secure, ça n'a rien fait du tout :(

Répondre à xtelle
bob_   13-10-2006 à 10:54:07
- 0 +

Bonjour,

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix. Regarde bien les trois petites notes au bas, avant de débuter.

Télécharge Look2Me-Destroyer.exe sur ton Bureau.

http://www.atribune.org/ccount/click.php?id=7

* Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
* Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
* Coche Run this program as a task
* Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 10 seconds". Clique OK
* Il se relancera après les 10 secondes, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
* Lorsque le scan termine, clique sur le bouton Remove L2M
* Un message Done Scanning apparaîtra, clique OK.
* Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
* Ton PC va maintenant s'éteindre.
* Démarre ton PC normalement.
* Colle le rapport généré, situé ici : C:\Look2Me-Destroyer.txt dans ta prochaine réponse.

#Si Look2Me-Destroyer ne se relance pas automatiquement après les 10 secondes, redémarre et essaie à nouveau.

##Si tu reçois un message de ton parefeu que l'outil tente d'accéder à l'internet : accepte.

###Si un message runtime error '339' s'affiche : télécharge MSWINSCK.OCX du lien ci-bas, et place-le dans le dossier C:\Windows\System32.
http://www.ascentive.com/support/n [...] WINSCK.OCX

2/ • Télécharge combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/combofix.exe
• Double clique combofix.exe et suis les invites.
• Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

3/ Reposte un nouveau rapport HijackThis.

Répondre à bob_
xtelle   13-10-2006 à 11:04:11
- 0 +

Merci là jsuis au boulot dès ce soir je suis tout celà et je répondrais pour te dire si ça a fonctionné ;)

Répondre à xtelle
Angeldark   13-10-2006 à 17:04:33
- 0 +

Bonjour,

Une guest star sur la section !

Bizarre, il n'y a aucune ligne 02...

Avant de poster le rapport Hijackthis fais ceci :
-- Clique Droit sur Hijackthis :
-> Choisis " Renommer "
-> Tape Scanner.exe puis valide

- Lance l'application
- Choisis l'option Do a system scan and save a logfile
-- Le Bloc-Notes s'ouvre :
-> Edition / Sélectionner Tout
-> Edition / Copier
- Colle le rapport ici.

Aide sur Hijackthis

Les pubs pour les antivirus, c'était WinAntivirus ?

Ensuite :
Télécharge Blacklight (F-Secure), clique sur " I ACCEPT " en bas de la page :
Clique sur le premier " Download " afin de télécharger le programme
Sauvegarde le sur ton Bureau
Double-clique blbeta.exe et accepte la licence; clique Scan puis Next.

A la fin du scan, NE TOUCHE A RIEN !

Tu verras un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Nous devons analyser ce rapport, ferme donc le BlackLight.

Poste le rapport sur le forum.

Aide sur BlackLight de Malekal_Morte

N'oublie pas les rapport demandés par Bob ;)


Message édité par Angeldark le 13-10-2006 à 17:05:20
Répondre à Angeldark
xtelle   14-10-2006 à 10:37:46
- 0 +

Bob j'ai fais tout ce que tu m'as dis de faire (j'suis très discipliné moi :p)
(Merci Angeldark mais avant de faire ta manip, on va d 'abord analyser les nouveaux logs ;)).

Rapport du scan L2M destroyer :
Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 14/10/2006 10:12:32

Infected! C:\WINDOWS\system32\guard.tmp
Infected! C:\WINDOWS\system32\mivcp71.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP105\A0040178.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP105\A0041176.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP105\A0041180.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP105\A0043179.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP105\A0043182.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP105\A0043183.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP105\A0045185.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048185.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048186.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048189.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048190.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048194.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048195.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048196.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048197.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048198.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048200.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048201.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048202.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048203.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048204.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048205.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048206.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048234.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048364.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048367.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048368.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048372.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048378.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048454.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP108\A0049668.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP108\A0049672.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP110\A0049842.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP110\A0049843.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP110\A0049864.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP110\A0049865.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP110\A0051061.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP110\A0051065.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP111\A0051069.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP112\A0052072.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP115\A0053074.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP115\A0054079.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP115\A0054080.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP115\A0054081.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP115\A0054082.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP115\A0054083.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP115\A0054085.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP115\A0054086.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP115\A0054087.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP116\A0055119.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP117\A0056124.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP118\A0056152.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP118\A0056153.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP118\A0056154.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP118\A0056155.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP118\A0056156.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP118\A0056157.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP118\A0056158.dll
Infected! C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP118\A0056159.dll
Infected! C:\WINDOWS\system32\h84mlih1184.dll

Attempting to delete infected files...

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP105\A0040178.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP105\A0040178.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP105\A0041176.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP105\A0041176.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP105\A0041180.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP105\A0041180.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP105\A0043179.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP105\A0043179.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP105\A0043182.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP105\A0043182.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP105\A0043183.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP105\A0043183.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP105\A0045185.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP105\A0045185.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048185.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048185.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048186.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048186.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048189.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048189.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048190.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048190.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048194.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048194.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048195.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048195.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048196.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048196.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048197.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048197.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048198.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048198.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048200.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048200.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048201.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048201.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048202.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048202.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048203.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048203.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048204.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048204.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048205.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048205.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048206.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048206.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048234.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048234.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048364.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048364.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048367.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048367.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048368.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048368.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048372.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048372.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048378.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048378.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048454.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP106\A0048454.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP108\A0049668.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP108\A0049668.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP108\A0049672.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP108\A0049672.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP110\A0049842.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP110\A0049842.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP110\A0049843.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP110\A0049843.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP110\A0049864.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP110\A0049864.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP110\A0049865.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP110\A0049865.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP110\A0051061.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP110\A0051061.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP110\A0051065.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP110\A0051065.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP111\A0051069.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP111\A0051069.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP112\A0052072.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP112\A0052072.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP115\A0053074.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP115\A0053074.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP115\A0054079.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP115\A0054079.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP115\A0054080.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP115\A0054080.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP115\A0054081.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP115\A0054081.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP115\A0054082.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP115\A0054082.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP115\A0054083.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP115\A0054083.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP115\A0054085.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP115\A0054085.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP115\A0054086.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP115\A0054086.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP115\A0054087.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP115\A0054087.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP116\A0055119.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP116\A0055119.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP117\A0056124.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP117\A0056124.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP118\A0056152.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP118\A0056152.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP118\A0056153.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP118\A0056153.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP118\A0056154.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP118\A0056154.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP118\A0056155.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP118\A0056155.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP118\A0056156.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP118\A0056156.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP118\A0056157.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP118\A0056157.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP118\A0056158.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP118\A0056158.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP118\A0056159.dll
C:\System Volume Information\_restore{75D02C78-5006-4CD9-A7CC-A1455E7D861B}\RP118\A0056159.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\h84mlih1184.dll
C:\WINDOWS\system32\h84mlih1184.dll Deleted successfully!

Making registry repairs.

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RunOnceEx
Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WebCheck
Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Dynamic Directory

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{15B243D3-1E7E-432E-8268-FE083CD464EB}"
HKCR\Clsid\{15B243D3-1E7E-432E-8268-FE083CD464EB}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{ACFE8654-3BB4-4E3F-9164-5D8C09381B2E}"
HKCR\Clsid\{ACFE8654-3BB4-4E3F-9164-5D8C09381B2E}

Restoring Windows certificates.

Replaced hosts file with default windows hosts file


Restoring SeDebugPrivilege for Administrateurs - Succeeded

Rapport de Combo Fix
Xtelle - 06-10-14 10:22:33,85 Service Pack 2
ComboFix 06.10.08W - Running from: C:\Documents and Settings\Xtelle\Mes documents

((((((((((((((((((((((((((((((((((((((((((((( Look2Me's Log ))))))))))))))))))))))))))))))))))))))))))))))))))


Granting sedebugprivilege to Administrateurs ... successful


((((((((((((((((((((((((((((((((((((((((((((( Qoologic's Log )))))))))))))))))))))))))))))))))))))))))))))))))))


* * * POST-RUN - Files in the Quarantine folder * * * * * * * * * * * * * * * * * * * * * * * * *



do NOT DELETE ANY FILES FROM THIS DIRECTORY UNLESS INSTRUCTED TO


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\system32\aaa00000.dll
C:\WINDOWS\system32\aaa00000.sys
C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\uninstall_nmon.vbs
C:\Documents and Settings\LocalService\Application Data\NetMon
C:\Program Files\Inetget2
C:\Program Files\network monitor
C:\Program Files\outlook
C:\Program Files\Fichiers communs\{30DD8BD7-031D-1036-0902-040826040021}


((((((((((((((((((((((((((((((( Files Created from 2006-09-14 to 2006-10-14 ))))))))))))))))))))))))))))))))))


2006-10-10 10:27 234,272 --a------ C:\WINDOWS\system32\smrmfilt.dll.ren
2006-10-06 20:42 234,272 --------- C:\WINDOWS\system32\o2lu0c39ef.dll.ren
2006-09-29 23:31 3,888 --a------ C:\WINDOWS\system32\drivers\NTHANDLE.SYS
2006-09-29 20:35 32,768 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-09-29 20:35 14,848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys
2006-09-29 20:34 57,384 --a------ C:\WINDOWS\system32\avsda.dll
2006-09-28 00:57 61,952 --a------ C:\WINDOWS\system32\czz06cad.dll
2006-09-28 00:57 1,233 --a------ C:\WINDOWS\system32\czz06cad.sys
2006-09-17 20:48 0 --a------ C:\WINDOWS\b.exe
2006-09-16 00:27 46,352 --a------ C:\WINDOWS\setdebug.exe
2006-09-16 00:27 139,536 --a------ C:\WINDOWS\system32\javaee.dll
2006-09-16 00:27 113 --a------ C:\WINDOWS\system32\zonedon.reg
2006-09-16 00:27 113 --a------ C:\WINDOWS\system32\zonedoff.reg


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-14 10:27 -------- d-------- C:\Program Files\Fichiers communs
2006-10-14 10:21 -------- d-------- C:\Program Files\Mozilla Firefox
2006-10-14 10:09 -------- d-------- C:\Program Files\Fichiers communs\Stardock
2006-10-12 21:51 -------- d-------- C:\Program Files\mIRC
2006-10-05 23:11 -------- d-------- C:\Program Files\Spyware Terminator
2006-10-05 22:57 -------- d-------- C:\Program Files\Audacity
2006-09-30 00:37 -------- d-------- C:\Program Files\directx
2006-09-29 20:35 -------- d-------- C:\Program Files\AntiVir PersonalEdition Classic
2006-09-29 20:31 -------- d-------- C:\Program Files\Fichiers communs\Microsoft Shared
2006-09-29 20:30 -------- d-------- C:\Program Files\MSN Messenger
2006-09-25 22:57 -------- d--h----- C:\Program Files\InstallShield Installation Information
2006-09-25 22:55 -------- d-------- C:\Documents and Settings\Xtelle\Application Data\iMesh
2006-09-24 01:45 -------- d-------- C:\Documents and Settings\Xtelle\Application Data\Adobe
2006-09-21 23:10 -------- d-------- C:\Program Files\Microsoft ActiveSync
2006-09-21 23:03 -------- d-------- C:\Program Files\Adobe
2006-09-21 23:00 -------- d-------- C:\Program Files\Fichiers communs\Adobe
2006-09-21 22:55 20640 --------- C:\WINDOWS\system32\drivers\pxhelp20.sys
2006-09-21 22:55 108544 --------- C:\WINDOWS\system32\pxcpyi64.exe
2006-09-17 21:03 -------- d---s---- C:\Documents and Settings\Xtelle\Application Data\Microsoft
2006-09-14 23:26 -------- d-------- C:\Program Files\Messenger
2006-09-14 23:26 -------- d-------- C:\Program Files\Internet Explorer
2006-09-14 23:25 -------- d-------- C:\Program Files\Windows Media Player
2006-09-14 23:21 -------- d-------- C:\Program Files\Outlook Express
2006-09-14 23:21 -------- d-------- C:\Program Files\Fichiers communs\System
2006-09-14 23:10 -------- d-------- C:\Documents and Settings\Xtelle\Application Data\Apple Computer
2006-09-14 22:23 -------- d-------- C:\Program Files\iTunes
2006-09-14 22:23 -------- d-------- C:\Program Files\iPod
2006-09-14 22:21 -------- d-------- C:\Program Files\QuickTime
2006-09-06 00:15 -------- d-------- C:\Program Files\eMule
2006-09-03 23:12 -------- d-------- C:\Documents and Settings\Xtelle\Application Data\Ambient Design
2006-09-03 22:49 -------- d-------- C:\Program Files\Ambient Design
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --------- C:\WINDOWS\system32\drivers\fltmgr.sys
2006-07-29 19:32 48936 --a------ C:\WINDOWS\system32\sirenacm.dll
2006-07-27 15:26 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-26 20:28 73216 --a------ C:\WINDOWS\cadkasdeinst01f.exe
2006-07-21 10:27 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-14 14:51 108144 --a------ C:\WINDOWS\system32\GEARAspi.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"RecordNow!"=""
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Program Files\\Fichiers communs\\Ahead\\lib\\NMBgMonitor.exe\""
"H/PC Connection Agent"="\"C:\\PROGRA~1\\MICROS~3\\wcescomm.exe\""
"Gestionnaire Antidote.exe"="C:\\PROGRA~1\\Druide\\Antidote\\Antidote\\Gestionnaire Antidote.exe"
"msnmsgr"="\"C:\\Program Files\\MSN Messenger\\msnmsgr.exe\" /background"
"LogitechSoftwareUpdate"="\"C:\\Program Files\\Logitech\\Video\\ManifestEngine.exe\" boot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,0a,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\At1.job

Completion time: 14/10/2006 10:29:55.81
C:\ComboFix.txt ... 14/10/2006 10:29

Et enfin, log Hijack This
Logfile of HijackThis v1.99.1
Scan saved at 10:31:23, on 14/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\PROGRA~1\MICROS~3\wcescomm.exe
C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Xtelle\Bureau\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~3\wcescomm.exe"
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://myxtelle.spaces.msn.com//Ph [...] nPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 4661833148
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/micros [...] 4662041039
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe


Verdict ? En tout cas, une petite chose, mon Windows n'était pas à jour (n'ayant pas une version très légale sur mon laptop :p je n'avais pu mettre à cause des nouvelles protections microsoft mon pc à jour), et il y'a deux jours, je ne sais pas quel miracle, en arrêtant mon PC les mises à jour se sont faites. Depuis ce scann et depuis cette mise à jour je n'ai plus aucune fenetre publicitaire qui s'ouvre ! :)

Avant de crier victoire trop vite, j'attends vos avis ;)

Répondre à xtelle
Angeldark   14-10-2006 à 13:16:00
- 0 +

Re,

Des fichiers curieux.

C:\WINDOWS\b.exe
C:\WINDOWS\setdebug.exe
C:\WINDOWS\cadkasdeinst01f.exe

Citation :

- Assure toi d'avoir accès aux dossiers/fichiers cachés
-> Démarrer
-> Panneau de configuration
-> Options des Dossiers, onglet Affichage :
. Clique sur Afficher les dossiers cachés
. Décoche Masquer les extensions des fichiers dont le type est connu
. Décoche Masquer les fichiers protégés du système d'exploitation



Va sur le site de VirusTotal
Clique sur Parcourir... puis ouvre:

C:\WINDOWS\b.exe
Fais pareil avec :
C:\WINDOWS\setdebug.exe
C:\WINDOWS\cadkasdeinst01f.exe

Clique ensuite sur Send
Poste le rapport en fin d'analyse.

Si tu vois ce message:
" Your file " ***.*** " is queued in position: ***. Estimated start time is between *** and *** minutes. "
Il te faudra patienter.

3 rapports a envoyé donc.
+ ce que je t'ai demandé en haut ;)

Répondre à Angeldark
xtelle   14-10-2006 à 14:42:56
- 0 +

Aucun des trois semblent être un virus...

Répondre à xtelle
Angeldark   14-10-2006 à 14:47:57
- 0 +

Re,

Tu les as scanné ?

Répondre à Angeldark
Angeldark   14-10-2006 à 16:49:17
- 0 +

Ok.
Plus de problemes ?
(rapport Hijackthis clean)

Répondre à Angeldark
xtelle   14-10-2006 à 17:41:21
- 0 +

Bah écoute, plus de publicité en tout cas. J'attends d'avoir l'affirmation de Bob, en tout cas merci sincérement Angeldark!!

Répondre à xtelle
Angeldark   14-10-2006 à 18:46:34
- 0 +

Supprime ca tu en as plus besoin :
C:\Documents and Settings\Xtelle\Application Data\iMesh

Juste pour verifier
----------
-> Démarrer
-> Exécuter...
Tape Services.msc puis valide
Double clique sur " Network Monitor "
Type de démarrage : " Désactiver "
Clique en bas sur " Arrêter "
Valide les changements.
-----

Bob etait absent ces temps ci mais il est revenu depuis peu.
En attendant son retour je peux t'assurer que ton rapport Hijackthis est propre ;)

Répondre à Angeldark
Angeldark   15-10-2006 à 14:44:57
- 0 +

Re,

Je m'explique.

Tu avais ce dossier (malware) qui a ete supprime par Combofix.
Il est generalement accompagne d'un service, si tu ne l'as pas c'est bon ;)

Répondre à Angeldark
bob_   15-10-2006 à 21:26:00
- 0 +

Bonsoir xtelle et Angeldark,

Effectivement je ne suis pas trop present en ce moment sur les forums :(

Mais xtelle tu peut avoir une tres grande confiance à Angeldark c'est un helper d'une tres grande categorie :)

Bientôt il va me depasser si ce n'est deja fait :lol:

PS : je pense que c'est le cas LOL mais je reviendrais :D

Répondre à bob_
xtelle   16-10-2006 à 10:45:36
- 0 +

En tout cas je tiens à vous remercier tous les deux, ça me rends super fiére d'avoir pu trouver la réponse sur IDN. Vous m'avez aidé moi, mais également les "je ne sais" combien de personnes qui ont le meme probleme et qui vont chercher sur google et tomber sur ce message ;)
Je vous remercie encore sincérement ! Et bravo pour ce travail dans la rubrique sécurité (je passerai plus souvent ;))

Répondre à xtelle
Angeldark   16-10-2006 à 13:48:02
- 0 +

Merci, bonne continuation :hello:

Citation :

Bientôt il va me depasser si ce n'est deja fait :lol:


L'élève surpasse toujours le maitre :p

Répondre à Angeldark
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Sécurité - Virus > Infecté par Look2me
Aller à :

Il y a 388 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,358 secondes
Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler
Liens