Virus ou Pop Up ?

Vitsith

1 Juin 2007 19:59:44

Voilà j'ai un probléme avec mon pc j'ai des fenetres "Security Update WinAntiVirusPro200" qui s'ouvre des que je me connecter sur internet, pourriez vous m'aider à resoudre mon probléme s'il vous plait ? je vous colle mon scan avec Hijackthis :

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21:59:16, on 01/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Acer\Acer eConsole\MediaServerService.exe
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Acer\Acer eMode Management\AspireService.exe
C:\Program Files\Acer\Acer eConsole\MediaSync.exe
C:\Program Files\Fichiers communs\ACD Systems\EN\DevDetect.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\NOBRAND\802.11g Wireless USB Adapter\PRISMSVR.EXE
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\All Users\Application Data\hozihatk.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\smgr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\NOBRAND\802.11g Wireless USB Adapter\NB11GUTI.exe
C:\Program Files\OpenOffice.org 2.1\program\soffice.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\Program Files\OpenOffice.org 2.1\program\soffice.BIN
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\MSN Messenger\usnsvc.exe
c:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Sha\Bureau\Internet Telechargement\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4B646AFB-9341-4330-8FD1-C32485AEE619} - C:\WINDOWS\system32\vkanillm.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.3558\swg.dll
O2 - BHO: (no name) - {B71FA585-B351-4E48-8DA8-22F6F705EC73} - C:\WINDOWS\system32\ljjkjhh.dll
O2 - BHO: (no name) - {C4F35891-0174-45C9-BA06-55663BDEFD22} - C:\WINDOWS\system32\ddcya.dll
O2 - BHO: (no name) - {CD3447D4-CA39-4377-8084-30E86331D74C} - C:\WINDOWS\system32\uywxrnsp.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ntiMUI] c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AspireService] C:\Program Files\Acer\Acer eMode Management\AspireService.exe
O4 - HKLM\..\Run: [MediaSync] C:\Program Files\Acer\Acer eConsole\MediaSync.exe
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Program Files\NOBRAND\802.11g Wireless USB Adapter\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu2000352.exe 61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
O4 - HKLM\..\Run: [avp] C:\WINDOWS\avp.exe
O4 - HKLM\..\Run: [hozihatk.exe] C:\Documents and Settings\All Users\Application Data\hozihatk.exe
O4 - HKLM\..\Run: [smgr] smgr.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Genuine] rundll32.exe "C:\WINDOWS\system32\nyphnfbw.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent] "D:\Program Files\Torrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [µTorrent] "C:\Program Files\uTorrent\utorrent.exe"
O4 - HKCU\..\Run: [Nphb] "C:\DOCUME~1\Sha\MESDOC~1\RACLE~1\fast.exe" -vt yazb
O4 - HKCU\..\Run: [Nlxzqd] "C:\Program Files\?racle\n?tdde.exe"
O4 - HKCU\..\Run: [Restore Operation] C:\DOCUME~1\Sha\LOCALS~1\Temp\svchots.exe
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Program Files\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: 802.11g Wireless USB Adapter Utility.lnk = C:\Program Files\NOBRAND\802.11g Wireless USB Adapter\NB11GUTI.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall....
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.ca...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.ca...
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213....
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O20 - Winlogon Notify: ddcya - C:\WINDOWS\system32\ddcya.dll
O20 - Winlogon Notify: ljjkjhh - C:\WINDOWS\SYSTEM32\ljjkjhh.dll
O20 - Winlogon Notify: winwea32 - C:\WINDOWS\SYSTEM32\winwea32.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Fdjskie8 jf8e - {8D5849A2-93F3-429D-FF34-260A2068897C} - (no file)
O23 - Service: Acer Media Server - Acer Inc. - C:\Program Files\Acer\Acer eConsole\MediaServerService.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe (file missing)
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 12444 bytes

En esperant que cela puisse vous aider. Merci

Autres pages sur : virus pop

| Etre averti des réponses
| Alerter

Répondre à Vitsith

chercheur_

1 Juin 2007 20:33:37

Bonjour

Plusieurs infections.

$$ Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4

* Double-clique VundoFix.exe afin de le lancer.
* Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo.
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
* Démarre ton PC à nouveau.

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

$$ Télécharge Combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.
Copie/colle ce rapport dans ta prochaine réponse avec un nouveau HijackThis et le contenu du rapport situé dans C:\vundofix.txt

Fais aussi ceci. Met ta réponse dans un second message, car sinon ce sera coupé car trop long.
Télécharge LopxpMH sur ton Bureau.
http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2....
Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.
Poste le contenu du rapport qui va s'ouvrir.

| Alerter

Répondre à chercheur_

Vitsith

1 Juin 2007 21:28:03

Merci de ton aide ^^.

Rapport HIJACKTHIS

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 23:27:57, on 01/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Acer\Acer eConsole\MediaServerService.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Acer\Acer eMode Management\AspireService.exe
C:\Program Files\Acer\Acer eConsole\MediaSync.exe
C:\Program Files\Fichiers communs\ACD Systems\EN\DevDetect.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\NOBRAND\802.11g Wireless USB Adapter\PRISMSVR.EXE
C:\Documents and Settings\All Users\Application Data\hozihatk.exe
C:\WINDOWS\smgr.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\Program Files\NOBRAND\802.11g Wireless USB Adapter\NB11GUTI.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\OpenOffice.org 2.1\program\soffice.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\Program Files\OpenOffice.org 2.1\program\soffice.BIN
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\notepad.exe
C:\Documents and Settings\Sha\Bureau\Internet Telechargement\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.3558\swg.dll
O2 - BHO: (no name) - {B71FA585-B351-4E48-8DA8-22F6F705EC73} - C:\WINDOWS\system32\ljjkjhh.dll (file missing)
O2 - BHO: (no name) - {C4F35891-0174-45C9-BA06-55663BDEFD22} - C:\WINDOWS\system32\ddcya.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ntiMUI] c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AspireService] C:\Program Files\Acer\Acer eMode Management\AspireService.exe
O4 - HKLM\..\Run: [MediaSync] C:\Program Files\Acer\Acer eConsole\MediaSync.exe
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Program Files\NOBRAND\802.11g Wireless USB Adapter\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [hozihatk.exe] C:\Documents and Settings\All Users\Application Data\hozihatk.exe
O4 - HKLM\..\Run: [smgr] smgr.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent] "D:\Program Files\Torrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Nphb] "C:\DOCUME~1\Sha\MESDOC~1\RACLE~1\fast.exe" -vt yazb
O4 - HKCU\..\Run: [Nlxzqd] "C:\Program Files\?racle\n?tdde.exe"
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Program Files\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: 802.11g Wireless USB Adapter Utility.lnk = C:\Program Files\NOBRAND\802.11g Wireless USB Adapter\NB11GUTI.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall....
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.ca...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.ca...
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213....
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Acer Media Server - Acer Inc. - C:\Program Files\Acer\Acer eConsole\MediaServerService.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe (file missing)
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 10986 bytes

| Alerter

Répondre à Vitsith

Vitsith

1 Juin 2007 21:28:45

Rapport VUNDOFIX

VundoFix V6.4.1

Checking Java version...

Java version is 1.5.0.5
Old versions of java are exploitable and should be removed.

Scan started at 23:08:01 01/06/2007

Listing files found while scanning....

C:\WINDOWS\system32\aycdd.bak1
C:\WINDOWS\system32\aycdd.bak2
C:\WINDOWS\system32\aycdd.ini
C:\WINDOWS\system32\aycdd.ini2
C:\WINDOWS\system32\aycdd.tmp
C:\WINDOWS\system32\bqfjjiog.dll
C:\WINDOWS\system32\byxusrp.dll
C:\WINDOWS\system32\ddcya.dll
C:\WINDOWS\system32\gebbxur.dll
C:\WINDOWS\system32\goijjfqb.ini
C:\WINDOWS\system32\ljjkjhh.dll
C:\WINDOWS\system32\orqss.ini
C:\WINDOWS\system32\qtstv.ini
C:\WINDOWS\system32\ssqro.dll
C:\WINDOWS\system32\vtstq.dll
C:\WINDOWS\system32\yayabca.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\aycdd.bak1
C:\WINDOWS\system32\aycdd.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\aycdd.bak2
C:\WINDOWS\system32\aycdd.bak2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\aycdd.ini
C:\WINDOWS\system32\aycdd.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\aycdd.ini2
C:\WINDOWS\system32\aycdd.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\aycdd.tmp
C:\WINDOWS\system32\aycdd.tmp Has been deleted!

Attempting to delete C:\WINDOWS\system32\bqfjjiog.dll
C:\WINDOWS\system32\bqfjjiog.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\byxusrp.dll
C:\WINDOWS\system32\byxusrp.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\ddcya.dll
C:\WINDOWS\system32\ddcya.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\gebbxur.dll
C:\WINDOWS\system32\gebbxur.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\goijjfqb.ini
C:\WINDOWS\system32\goijjfqb.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\ljjkjhh.dll
C:\WINDOWS\system32\ljjkjhh.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\orqss.ini
C:\WINDOWS\system32\orqss.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\qtstv.ini
C:\WINDOWS\system32\qtstv.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\ssqro.dll
C:\WINDOWS\system32\ssqro.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\vtstq.dll
C:\WINDOWS\system32\vtstq.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\yayabca.dll
C:\WINDOWS\system32\yayabca.dll Has been deleted!

Performing Repairs to the registry.
Done!

| Alerter

Répondre à Vitsith

Vitsith

1 Juin 2007 21:29:31

Rapport COMBOFIX

"Sha" - 2007-06-01 23:19:15 Service Pack 2
ComboFix 07-05.27.BV - Running from: "C:\Documents and Settings\Sha\Bureau\Internet Telechargement\"

(((((((((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\system32\rxkybkyj.dll
C:\WINDOWS\system32\uywxrnsp.dll
C:\WINDOWS\system32\vkanillm.dll
C:\WINDOWS\system32\winwea32.dll

* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

"C:\Program Files\Fichiers communs\Yazzle1162OinAdmin.exe"
"C:\WINDOWS\system32\pee.exe.exe"
"C:\Program Files\outerinfo\Terms.rtf"
"C:\WINDOWS\avp.exe"
"C:\Program Files\outerinfo"

-- Purity Folders:

C:\Program Files\RACLE~1
C:\DOCUME~1\Sha\MESDOC~1\RACLE~1

((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------\LEGACY_NWSAPAGENT
-------\nm
-------\NwSapAgent

((((((((((((((((((((((((((((((( Files Created from 2007-05-01 to 2007-06-01 ))))))))))))))))))))))))))))))))))

2007-06-01 23:08 <REP> d-------- C:\VundoFix Backups
2007-06-01 18:20 <REP> d-------- C:\Program Files\Panicware
2007-06-01 18:10 131,124 --a------ C:\WINDOWS\system32\nyphnfbw.dll
2007-06-01 01:15 95,872 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-06-01 01:15 94,552 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-06-01 01:15 85,952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-06-01 01:15 745,600 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-06-01 01:15 43,176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-06-01 01:15 26,888 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-06-01 01:15 23,416 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-06-01 00:25 11,776 --a------ C:\WINDOWS\smgr.exe
2007-05-31 18:27 <REP> d-------- C:\DOCUME~1\Sha\APPLIC~1\Lavasoft
2007-05-30 22:50 28,160 --a------ C:\WINDOWS\system32\sysmon32.exe
2007-05-30 18:00 <REP> d-------- C:\Program Files\Activision
2007-05-30 17:59 10,000 --a------ C:\WINDOWS\system32\lfhs76ghf.dll
2007-05-30 17:55 2 --a------ C:\WINDOWS\system32\wtssvit32.exe
2007-05-30 17:53 56,832 --a------ C:\DOCUME~1\ALLUSE~1\APPLIC~1\hozihatk.exe
2007-05-30 17:48 28,160 --a------ C:\WINDOWS\system32\winsys64.exe
2007-05-27 22:31 <REP> d--h----- C:\WINDOWS\PIF
2007-05-27 20:14 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\nView_Profiles
2007-05-11 00:14 <REP> d-------- C:\Program Files\SEGA
2007-05-02 20:10 <REP> d-------- C:\Program Files\uTorrent

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-01 21:23:25 -------- d-----w C:\Program Files\Wanadoo
2007-06-01 21:17:45 -------- d-----w C:\DOCUME~1\Sha\APPLIC~1\OpenOffice.org2
2007-06-01 21:17:32 -------- d-----w C:\DOCUME~1\Sha\APPLIC~1\uTorrent
2007-05-31 23:15:39 -------- d-----w C:\Program Files\Alwil Software
2007-05-31 16:56:29 -------- d-----w C:\Program Files\eChanblard
2007-05-30 23:51:07 -------- d-----w C:\DOCUME~1\Sha\APPLIC~1\LimeWire
2007-05-30 16:14:48 163,644 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-05-30 16:05:15 -------- d--h--w C:\Program Files\InstallShield Installation Information
2007-05-28 11:51:40 -------- d-----w C:\Program Files\Steam
2007-05-16 23:20:48 -------- d-----w C:\Program Files\Dofus
2007-04-26 01:25:57 -------- d-----w C:\Program Files\Winamp
2007-04-25 14:08:13 -------- d-----w C:\Program Files\Liquid Entertainment
2007-04-22 03:59:46 -------- d-----w C:\DOCUME~1\Sha\APPLIC~1\InstallShield
2007-04-21 23:37:15 -------- d-----w C:\Program Files\Everest Poker
2007-04-21 18:27:37 -------- d-----w C:\Program Files\Fichiers communs\Adobe Systems Shared
2007-04-20 16:49:33 -------- d-----w C:\Program Files\American Conquest - Fight Back
2007-04-18 16:14:18 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-04-16 17:01:18 -------- d-----w C:\Program Files\Fichiers communs\Real
2007-04-16 17:01:18 -------- d-----w C:\DOCUME~1\Sha\APPLIC~1\Real
2007-04-16 02:37:13 -------- d-----w C:\DOCUME~1\Sha\APPLIC~1\AdobeUM
2007-04-15 22:48:49 -------- d-----w C:\Program Files\Real
2007-04-09 13:31:34 64,484 ----a-w C:\WINDOWS\system32\perfc00C.dat
2007-04-09 13:31:34 446,566 ----a-w C:\WINDOWS\system32\perfh00C.dat
2007-04-09 13:28:38 -------- d-----w C:\DOCUME~1\Sha\APPLIC~1\Help
2007-04-09 12:40:35 15,781 ----a-w C:\WINDOWS\system32\drivers\mdc8021x.sys
2007-04-09 12:40:34 -------- d-----w C:\Program Files\NOBRAND
2007-04-09 12:30:48 -------- d-----w C:\Program Files\Google
2007-04-08 21:17:12 -------- d-----w C:\Program Files\Wanadoo Messager
2007-04-06 21:10:04 -------- d-----w C:\Program Files\Red Storm Entertainment
2007-03-31 22:01:29 1,168 ----a-w C:\WINDOWS\mozver.dat
2007-03-26 18:21:37 230,432 ----a-w C:\StiImg.dat
2007-03-18 00:18:05 0 ----a-w C:\WINDOWS\nsreg.dat
2007-03-17 13:44:47 293,376 ----a-w C:\WINDOWS\system32\winsrv.dll
2007-03-08 15:37:50 578,560 ----a-w C:\WINDOWS\system32\user32.dll
2007-03-08 15:37:50 40,960 ----a-w C:\WINDOWS\system32\mf3216.dll
2007-03-08 15:37:50 281,600 ----a-w C:\WINDOWS\system32\gdi32.dll
2007-03-08 15:33:58 1,843,712 ----a-w C:\WINDOWS\system32\win32k.sys

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2004-12-14 02:56]
{AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\program files\google\googletoolbar3.dll [2007-01-20 00:56]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}=C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.3558\swg.dll [2007-04-01 22:24]
{B71FA585-B351-4E48-8DA8-22F6F705EC73}=C:\WINDOWS\system32\ljjkjhh.dll []
{C4F35891-0174-45C9-BA06-55663BDEFD22}=C:\WINDOWS\system32\ddcya.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 18:07 C:\WINDOWS\system32\HdAShCut.exe]
"RTHDCPL"="RTHDCPL.EXE" []
"Alcmtr"="ALCMTR.EXE" []
"ntiMUI"="c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 19:15]
"@"="" []
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe" [2005-08-26 19:14]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 21:24]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\Monitor.exe" [2005-11-16 18:00]
"nwiz"="nwiz.exe" [2005-11-11 13:47 C:\WINDOWS\system32\nwiz.exe]
"AspireService"="C:\Program Files\Acer\Acer eMode Management\AspireService.exe" [2005-09-29 17:07]
"MediaSync"="C:\Program Files\Acer\Acer eConsole\MediaSync.exe" [2005-09-21 14:48]
"Device Detector"="DevDetect.exe" []
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-11-21 19:38]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-02-16 10:54]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-03-14 19:05]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 14:49]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55]
"PRISMSVR.EXE"="C:\Program Files\NOBRAND\802.11g Wireless USB Adapter\PRISMSVR.exe" [2005-06-20 14:05]
"hozihatk.exe"="C:\Documents and Settings\All Users\Application Data\hozihatk.exe" [2007-05-30 17:53]
"smgr"="smgr.exe" []
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 17:42]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-11-11 13:47]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 07:00]
"BitTorrent"="D:\Program Files\Torrent\bittorrent.exe" []
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-04-01 22:24]
"WOOKIT"="C:\PROGRA~1\Wanadoo\Shell.exe" [2004-08-23 14:50]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 13:55]
"Nphb"="C:\DOCUME~1\Sha\MESDOC~1\RACLE~1\fast.exe" []
"Nlxzqd"="C:\Program Files\?racle\n?tdde.exe" []
"PopUpStopperFreeEdition"="C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe" [2005-03-17 11:10]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B71FA585-B351-4E48-8DA8-22F6F705EC73}"="C:\WINDOWS\system32\ljjkjhh.dll" []

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*

Contents of the 'Scheduled Tasks' folder
2007-05-17 11:20:00 C:\WINDOWS\tasks\AppleSoftwareUpdate.job

********************************************************************

catchme 0.3.692 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-01 23:22:44
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

********************************************************************

Completion time: 2007-06-01 23:24:26 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-06-01 23:24

--- E O F ---

| Alerter

Répondre à Vitsith

Vitsith

1 Juin 2007 21:45:26

Rapport LOPXPMH

Rapport lopxpMH2 version 2.0 fait à 23:44:23,21 le 01/06/2007
C:\Documents and Settings\Sha\Bureau\Internet Telechargement

******************************************
## Répertoires Application Data

Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est E4DD-CB2B

Répertoire de C:\Documents and Settings\All Users\Application Data

16/12/2005 03:18 <REP> .
16/12/2005 03:18 <REP> ..
18/03/2007 04:00 <REP> ACD Systems
16/12/2005 03:18 <REP> Adobe
21/04/2007 20:31 <REP> Adobe Systems
28/03/2007 18:02 <REP> Apple Computer
18/03/2007 02:15 <REP> Google
22/04/2007 06:03 <REP> Media Center Programs
16/12/2005 03:08 <REP> Microsoft
27/05/2007 20:14 <REP> nView_Profiles
26/03/2007 00:42 <REP> pixelStorm
09/04/2007 14:41 <REP> Prism
16/12/2005 11:54 <REP> Symantec
18/03/2007 20:38 <REP> Windows Genuine Advantage
16/12/2005 04:04 62 desktop.ini
30/05/2007 17:53 56 832 hozihatk.exe
2 fichier(s) 56 894 octets
14 Rép(s) 21 423 677 440 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est E4DD-CB2B

Répertoire de C:\Documents and Settings\Default User\Application Data

16/12/2005 04:04 <REP> .
16/12/2005 04:04 <REP> ..
18/03/2007 00:58 <REP> Identities
16/12/2005 03:08 <REP> Microsoft
18/03/2007 00:58 <REP> Symantec
16/12/2005 04:04 62 desktop.ini
1 fichier(s) 62 octets
5 Rép(s) 21 423 677 440 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est E4DD-CB2B

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

16/12/2005 03:07 <REP> .
16/12/2005 03:07 <REP> ..
18/03/2007 00:58 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150050}
16/12/2005 03:08 <REP> Microsoft
18/03/2007 00:58 3 220 034 IconCache.db
1 fichier(s) 3 220 034 octets
4 Rép(s) 21 423 677 440 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est E4DD-CB2B

Répertoire de C:\Documents and Settings\LocalService\Application Data

16/12/2005 03:10 <REP> .
16/12/2005 03:10 <REP> ..
16/12/2005 03:10 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 21 423 677 440 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est E4DD-CB2B

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

16/12/2005 03:10 <REP> .
16/12/2005 03:10 <REP> ..
16/12/2005 03:10 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 21 423 677 440 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est E4DD-CB2B

Répertoire de C:\Documents and Settings\NetworkService\Application Data

16/12/2005 03:10 <REP> .
16/12/2005 03:10 <REP> ..
16/12/2005 03:10 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 21 423 677 440 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est E4DD-CB2B

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

16/12/2005 03:10 <REP> .
16/12/2005 03:10 <REP> ..
16/12/2005 03:10 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 21 423 677 440 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est E4DD-CB2B

Répertoire de C:\Documents and Settings\Sha\Application Data

18/03/2007 00:59 <REP> .
18/03/2007 00:59 <REP> ..
18/03/2007 04:03 <REP> ACD Systems
26/03/2007 06:00 <REP> Adobe
16/04/2007 04:37 <REP> AdobeUM
28/03/2007 18:03 <REP> Apple Computer
18/03/2007 01:26 <REP> BitTorrent
18/03/2007 02:22 <REP> Google
09/04/2007 15:28 <REP> Help
18/03/2007 00:59 <REP> Identities
22/04/2007 05:59 <REP> InstallShield
31/05/2007 18:27 <REP> Lavasoft
18/03/2007 01:26 <REP> LimeWire
18/03/2007 08:01 <REP> Macromedia
18/03/2007 00:59 <REP> Microsoft
18/03/2007 02:18 <REP> Mozilla
18/03/2007 03:51 <REP> OpenOffice.org2
16/04/2007 00:48 <REP> Real
18/03/2007 07:41 <REP> Sun
18/03/2007 00:59 <REP> Symantec
18/03/2007 02:18 <REP> Talkback
18/03/2007 02:30 <REP> uTorrent
18/03/2007 02:09 <REP> vlc
18/03/2007 00:59 62 desktop.ini
1 fichier(s) 62 octets
23 Rép(s) 21 423 673 344 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est E4DD-CB2B

Répertoire de C:\Documents and Settings\Sha\Local Settings\Application Data

18/03/2007 00:59 <REP> .
18/03/2007 00:59 <REP> ..
18/03/2007 00:59 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150050}
21/04/2007 05:49 <REP> ACDPhotoEditor
18/03/2007 04:03 <REP> ACDSee
26/03/2007 06:00 <REP> Adobe
28/03/2007 18:03 <REP> Apple Computer
31/03/2007 19:43 <REP> Freelancer
22/04/2007 06:03 <REP> Gas Powered Games
18/03/2007 02:16 <REP> Google
09/04/2007 15:28 <REP> Help
24/03/2007 13:48 <REP> Identities
18/03/2007 00:59 <REP> Microsoft
18/03/2007 02:18 <REP> Mozilla
03/05/2007 22:44 <REP> WMTools Downloaded Files
18/03/2007 01:30 128 512 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
18/03/2007 02:16 37 056 GDIPFONTCACHEV1.DAT
18/03/2007 00:59 4 850 138 IconCache.db
3 fichier(s) 5 015 706 octets
15 Rép(s) 21 423 673 344 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est E4DD-CB2B

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

16/12/2005 04:04 <REP> .
16/12/2005 04:04 <REP> ..
18/03/2007 00:58 <REP> Identities
16/12/2005 04:04 <REP> Microsoft
18/03/2007 00:58 <REP> Symantec
16/12/2005 04:04 62 desktop.ini
1 fichier(s) 62 octets
5 Rép(s) 21 423 673 344 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est E4DD-CB2B

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

16/12/2005 04:04 <REP> .
16/12/2005 04:04 <REP> ..
18/03/2007 00:58 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150050}
16/12/2005 03:07 <REP> Microsoft
18/03/2007 00:58 3 220 034 IconCache.db
1 fichier(s) 3 220 034 octets
4 Rép(s) 21 423 673 344 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
ŠØ±é&âA¯N¼ÞEF ê <
s €!×
: C : \ P r o g r a m F i l e s \ A p p l e S o f t w a r e U p d a t e \ S o f t w a r e U p d a t e . e x e - T a s k S Y S T E M 0 ×

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est E4DD-CB2B

Répertoire de C:\Program Files

01/06/2007 23:21 <REP> .
01/06/2007 23:21 <REP> ..
18/03/2007 04:00 <REP> ACD Systems
18/03/2007 01:01 <REP> Acer
30/05/2007 18:00 <REP> Activision
21/04/2007 20:29 <REP> Adobe
01/06/2007 01:15 <REP> Alwil Software
20/04/2007 18:49 <REP> American Conquest - Fight Back
28/03/2007 18:02 <REP> Apple Software Update
16/12/2005 03:06 <REP> ComPlus Applications
16/12/2005 03:22 <REP> CyberLink
17/05/2007 01:20 <REP> Dofus
31/05/2007 18:56 <REP> eChanblard
22/04/2007 01:37 <REP> Everest Poker
01/06/2007 23:21 <REP> Fichiers communs
09/04/2007 14:30 <REP> Google
10/05/2007 03:02 <REP> Internet Explorer
28/03/2007 18:03 <REP> iPod
28/03/2007 18:03 <REP> iTunes
16/12/2005 03:21 <REP> Java
18/03/2007 02:17 <REP> Lavasoft
25/04/2007 16:08 <REP> Liquid Entertainment
16/12/2005 03:11 <REP> Messenger
18/03/2007 08:50 <REP> microsoft frontpage
16/12/2005 03:07 <REP> Movie Maker
01/06/2007 21:54 <REP> Mozilla Firefox
18/03/2007 08:50 <REP> MSN
18/03/2007 08:50 <REP> MSN Gaming Zone
18/03/2007 01:59 <REP> MSN Messenger
16/12/2005 03:07 <REP> NetMeeting
18/03/2007 01:00 <REP> NewTech Infosystems
09/04/2007 14:40 <REP> NOBRAND
18/03/2007 08:50 <REP> Online Services
18/03/2007 03:50 <REP> OpenOffice.org 2.1
18/03/2007 04:02 <REP> Outlook Express
01/06/2007 18:20 <REP> Panicware
18/03/2007 02:16 <REP> Picasa2
28/03/2007 18:03 <REP> QuickTime
16/04/2007 00:48 <REP> Real
18/03/2007 08:50 <REP> Realtek
06/04/2007 23:10 <REP> Red Storm Entertainment
11/05/2007 00:14 <REP> SEGA
18/03/2007 08:50 <REP> Services en ligne
28/05/2007 13:51 <REP> Steam
20/03/2007 02:33 <REP> Trust
02/05/2007 20:10 <REP> uTorrent
18/03/2007 02:08 <REP> VideoLAN
01/06/2007 23:43 <REP> Wanadoo
08/04/2007 23:17 <REP> Wanadoo Messager
26/04/2007 03:25 <REP> Winamp
19/03/2007 02:30 <REP> Windows Media Player
18/03/2007 08:50 <REP> Windows NT
19/03/2007 02:41 <REP> WinRAR
18/03/2007 08:50 <REP> xerox
0 fichier(s) 0 octets
54 Rép(s) 21 423 669 248 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow

* Mozilla Firefox (1 autorisé 2 interdit)

---------- C:\DOCUMENTS AND SETTINGS\SHA\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\EB9FW539.DEFAULT\HOSTPERM.1

******************************************
## Registre

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
hozihatk.exe REG_SZ C:\Documents and Settings\All Users\Application Data\hozihatk.exe

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

*************** Fin du rapport ****************

| Alerter

Répondre à Vitsith

chercheur_

1 Juin 2007 21:57:11

Re

Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer.

1 Télécharge
CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.

AVG Anti-Spyware
http://www.ewido.net/en/download/
Tu l'installes.
Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente

2 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.

3 Relance un scan HijackThis et coche les lignes ci-dessous :

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {B71FA585-B351-4E48-8DA8-22F6F705EC73} - C:\WINDOWS\system32\ljjkjhh.dll (file missing)
O2 - BHO: (no name) - {C4F35891-0174-45C9-BA06-55663BDEFD22} - C:\WINDOWS\system32\ddcya.dll (file missing)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [hozihatk.exe] C:\Documents and Settings\All Users\Application Data\hozihatk.exe
O4 - HKLM\..\Run: [smgr] smgr.exe
O4 - HKCU\..\Run: [Nphb] "C:\DOCUME~1\Sha\MESDOC~1\RACLE~1\fast.exe" -vt yazb
O4 - HKCU\..\Run: [Nlxzqd] "C:\Program Files\?racle\n?tdde.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/5 [...] plugin.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-F [...] E_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/bina [...] b56649.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/bina [...] b57213.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b56907.cab

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

4 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer

5 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\WINDOWS\smgr.exe
C:\Documents and Settings\All Users\Application Data\hozihatk.exe
C:\Documents and Settings\Sha\Mes Documents\RACLE~1
C:\Program Files\?racle

Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

6 Lance le nettoyage avec CCleaner.

7 Lance AVG Anti-Spyware.
Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantine.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas.
Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

8 Redémarre normalement et poste un nouveau log HijackThis avec le rapport d'AVG Anti-Spyware

| Alerter

Répondre à chercheur_

Vitsith

3 Juin 2007 00:52:16

Ok merci je vais tenter de tout suivre à la lettre, mais est ce que avec Avast et AVG il n'y aura pas un probléme de conflit ?

| Alerter

Répondre à Vitsith

Vitsith

3 Juin 2007 01:46:44

Rapport HIJACKTHIS :

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 03:46:25, on 03/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Acer\Acer eConsole\MediaServerService.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Program Files\Acer\Acer eMode Management\AspireService.exe
C:\Program Files\Acer\Acer eConsole\MediaSync.exe
C:\Program Files\Fichiers communs\ACD Systems\EN\DevDetect.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\NOBRAND\802.11g Wireless USB Adapter\PRISMSVR.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\Program Files\NOBRAND\802.11g Wireless USB Adapter\NB11GUTI.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\Program Files\OpenOffice.org 2.1\program\soffice.exe
C:\Program Files\OpenOffice.org 2.1\program\soffice.BIN
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Sha\Bureau\Internet Telechargement\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.3558\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [ntiMUI] c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AspireService] C:\Program Files\Acer\Acer eMode Management\AspireService.exe
O4 - HKLM\..\Run: [MediaSync] C:\Program Files\Acer\Acer eConsole\MediaSync.exe
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Program Files\NOBRAND\802.11g Wireless USB Adapter\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent] "D:\Program Files\Torrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Program Files\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: 802.11g Wireless USB Adapter Utility.lnk = C:\Program Files\NOBRAND\802.11g Wireless USB Adapter\NB11GUTI.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Acer Media Server - Acer Inc. - C:\Program Files\Acer\Acer eConsole\MediaServerService.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe (file missing)
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 9388 bytes

| Alerter

Répondre à Vitsith

Vitsith

3 Juin 2007 01:47:56

Rapport AVG :

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 03:40:24 03/06/2007

+ Résultat de l'analyse:

C:\System Volume Information\_restore{787DC6C3-51B9-452C-97E3-A31D31627396}\RP1\A0001506.dll -> Adware.Virtumonde : Aucune action entreprise.
C:\VundoFix Backups\gebbxur.dll.bad -> Adware.Virtumonde : Aucune action entreprise.
C:\System Volume Information\_restore{787DC6C3-51B9-452C-97E3-A31D31627396}\RP2\A0001756.exe -> Downloader.Alphabet : Aucune action entreprise.
C:\QooBox\Quarantine\C\WINDOWS\avp.exe.vir -> Downloader.Alphabet.b : Aucune action entreprise.
C:\System Volume Information\_restore{787DC6C3-51B9-452C-97E3-A31D31627396}\RP1\A0001558.exe -> Downloader.Alphabet.b : Aucune action entreprise.
C:\WINDOWS\avp.exe -> Downloader.Alphabet.b : Aucune action entreprise.
C:\System Volume Information\_restore{787DC6C3-51B9-452C-97E3-A31D31627396}\RP1\A0001501.exe -> Downloader.Alphabet.c : Aucune action entreprise.
C:\System Volume Information\_restore{787DC6C3-51B9-452C-97E3-A31D31627396}\RP2\A0001688.exe -> Downloader.Alphabet.c : Aucune action entreprise.
C:\WINDOWS\system32\sysmon32.exe -> Downloader.Alphabet.c : Aucune action entreprise.
C:\QooBox\Quarantine\C\WINDOWS\system32\winwea32.dll.vir -> Trojan.Dialer.qn : Aucune action entreprise.
C:\System Volume Information\_restore{787DC6C3-51B9-452C-97E3-A31D31627396}\RP1\A0001562.dll -> Trojan.Dialer.qn : Aucune action entreprise.
C:\WINDOWS\system32\wtssvit32.exe -> Trojan.Small : Aucune action entreprise.

Fin du rapport

| Alerter

Répondre à Vitsith

chercheur_

3 Juin 2007 19:46:01

Bonjour

Il n'y a pas d'incompatibilité entre Avast et AVG Anti-Spyware, il n'ont pas la même fonction.

Le scan montre "Aucune action entreprise", as tu enregistré le rapport avant la désinfection ?

Hijackthis est propre.

Fais une analyse antivirus en ligne sur Kaspersky
http://webscanner.kaspersky.fr/
Clique sur Démarrer Online Scanner.
Sélectionne le poste de travail comme analyse.
Colle son rapport ici.