S'abonner :  Newsletters    Magazines
Avis sur les produits Avis sur les logiciels Avis sur les jeux Actualités A propos de 01net
140 utilisateurs connectés
Forum de 01net / Sécurité / win32:Ircbot-AHK, Rbot-CWG, Softomate-B

win32:Ircbot-AHK, Rbot-CWG, Softomate-B

Dizaal le 03 avril 2007 à 11h10
Hello

Lors d'un scan au démarrage, avast m'a trouvé ceci :

win32:Ircbot-AHK (trj)
win32:Rbot-CWG (trj)
win32:Softomate-B (adw)

Je les ai mis en quarrantaine.
Pourriez vous me dire ce qu'il convient de faire pour éviter de les concerver dans ma quarrantaine ?

Je ne comprends pas comment ils font. J'ai eu qq soucis avec la protection résidente d'avast il y a qq jours, mais ça c'est arrangé.
Ici, j'ai eu un doute après l'installation d'une update de msn toolbar alors j'ai fait le scan. Ce serait ça ??


Merci d'avance

:)




répondre
Anthony10 le 03 avril 2007 à 11h12
Bonjour Dizaal,

  • Télécharge HijackThis que tu placeras dans un répertoire dédié tel C:\Program Files\HijackThis.

  • Double-clique sur HijackThis.exe pour lancer l'outil.
  • Ferme toutes les applications en cours sauf HijackThis.
  • Clique sur le bouton Do a system scan and save a logfile.
  • Un rapport sera généré puis le Bloc-notes l'affichera.
  • Dans le Bloc-notes, clique en haut sur le menu Edition puis choisis Sélectionner tout.
  • Dans le Bloc-notes, clique en haut sur le menu Edition puis choisis Copier.

  • Dans ta future réponse, colle le rapport de HijackThis.

    • A suivre,

    En cas de difficulté, voir le tutorial d'HijackThis sur le site de Malekal_Morte
    -------
    Mon forum (avec Bruce Lee):
    http://cybersecurite.xooit.com/index.php
    répondre
    Dizaal le 03 avril 2007 à 11h39
    Re !

    Voici le rapport :

    Logfile of HijackThis v1.99.1
    Scan saved at 11:34:06, on 3/04/2007
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Program Files\Antivirus\Avast\aswUpdSv.exe
    C:\Program Files\Antivirus\Avast\ashServ.exe
    C:\WINNT\system32\HPZipm12.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\Explorer.EXE
    C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
    C:\Program Files\Antivirus\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\Antivirus\Unlocker\UnlockerAssistant.exe
    C:\PROGRA~1\ANTIVI~1\Avast\ashDisp.exe
    C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\WINNT\system32\internat.exe
    C:\Program Files\Antivirus\Avast\ashWebSv.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\Program Files\Antivirus\Avast\ashMaiSv.exe
    C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
    C:\Program Files\Antivirus\Hijtakthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O3 - Toolbar: (no name) - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [AcroRead 5 SetLanguage] wscript.exe "c:\program files\adobe\acrobat 5.0\Reader\Acrobat.vbs"
    O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Antivirus\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Antivirus\Unlocker\UnlockerAssistant.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ANTIVI~1\Avast\ashDisp.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-be\msntabres.dll.mui/229?1f9ec3d939046f3be5033dad340a5
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-be\msntabres.dll.mui/230?1f9ec3d939046f3be5033dad340a5
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{20A3A121-4DE0-459B-BEEE-0EC91D1642D9}: NameServer = 84.103.237.141 86.64.145.141
    O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Antivirus\Avast\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Antivirus\Avast\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Antivirus\Avast\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Antivirus\Avast\ashWebSv.exe" /service (file missing)
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Antivirus\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe (file missing)
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe (file missing)
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe (file missing)
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Unknown owner - C:\Program files\NAVNT\DefWatch.exe (file missing)
    O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
    O23 - Service: SAVRoam (SavRoam) - Unknown owner - C:\Program files\NAVNT\SavRoam.exe (file missing)
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe (file missing)
    O23 - Service: Symantec AntiVirus - Unknown owner - C:\Program files\NAVNT\Rtvscan.exe (file missing)






    Ah et j'ai un drôle de dossier qui a été créé ce matin même (debut de mes soucis). Tu sais ce que c'est ? Je peux le supprimer ?
    Le dossier se nomme : C:\f9e807517437e16bc238
    et ne contient que un fichier, un bloc note : msxml4-KB927978-enu



    répondre
    Anthony10 le 03 avril 2007 à 22h48
    Re-bonsoir,

    Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.
    • Déroule la liste des instructions ci-dessous :
  • Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
    • N.B.:
    - Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.
    - Andy fait plusieurs mises à jour, souvent plus d'une par jour... N'hésitez donc pas à demander de télécharger une nouvelle version lorsque le nettoyage dure et que l'outil ne semble pas tout voir.
    -------
    Mon forum (avec Bruce Lee):
    http://cybersecurite.xooit.com/index.php
    répondre
    Dizaal le 04 avril 2007 à 10h51
    Hello

    Merci beaucoup.

    Voici les résultats SDFix :


    SDFix: Version 1.52
    ****************

    mer. 04/04/2007 - 10:14:40,61

    Microsoft Windows 2000 [Version 5.00.2195]

    Running From: C:\SDFix

    Stage One - Safe Mode

    Checking Services...

    Service Name:


    File Path:



    Starting Registry Repairs...

    Restoring Default Hosts File...

    Stage One Complete

    Rebooting...

    Stage Two - Normal Mode

    Checking For Malware:
    --------------------


    Backing Up and Removing any Files Found...

    Alternate Stream Check:

    C:\WINNT\system32
    No streams found.
    Final Check:

    Remaining Services:
    ------------------


    Remaining Files:
    ---------------

    Backups Folder: - C:\SDFix\backups\backups.zip

    Checking for files with Hidden Attributes:

    C:\arcldr.exe
    C:\arcsetup.exe
    C:\Program Files\Common Files\Adobe\ESD\DLMCleanup.exe
    C:\WINNT\system32\syuno.exe
    C:\CONFIG.SYS
    C:\IO.SYS
    C:\MSDOS.SYS
    C:\pagefile.sys

    FINISHED!


    Le rapport HijachThis :

    Logfile of HijackThis v1.99.1
    Scan saved at 10:47:00, on 4/04/2007
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Program Files\Antivirus\Avast\aswUpdSv.exe
    C:\Program Files\Antivirus\Avast\ashServ.exe
    C:\WINNT\system32\HPZipm12.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\Program Files\Antivirus\Avast\ashMaiSv.exe
    C:\Program Files\Antivirus\Avast\ashWebSv.exe
    C:\WINNT\system32\notepad.exe
    C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
    C:\Program Files\Antivirus\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\Antivirus\Unlocker\UnlockerAssistant.exe
    C:\PROGRA~1\ANTIVI~1\Avast\ashDisp.exe
    C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\WINNT\system32\internat.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
    C:\WINNT\explorer.exe
    C:\WINNT\system32\svchost.exe
    C:\Program Files\Antivirus\Hijtakthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O3 - Toolbar: (no name) - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [AcroRead 5 SetLanguage] wscript.exe "c:\program files\adobe\acrobat 5.0\Reader\Acrobat.vbs"
    O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Antivirus\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Antivirus\Unlocker\UnlockerAssistant.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ANTIVI~1\Avast\ashDisp.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-be\msntabres.dll.mui/229?1f9ec3d939046f3be5033dad340a5
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-be\msntabres.dll.mui/230?1f9ec3d939046f3be5033dad340a5
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
    O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Antivirus\Avast\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Antivirus\Avast\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Antivirus\Avast\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Antivirus\Avast\ashWebSv.exe" /service (file missing)
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Antivirus\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe (file missing)
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe (file missing)
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe (file missing)
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Unknown owner - C:\Program files\NAVNT\DefWatch.exe (file missing)
    O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
    O23 - Service: SAVRoam (SavRoam) - Unknown owner - C:\Program files\NAVNT\SavRoam.exe (file missing)
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe (file missing)
    O23 - Service: Symantec AntiVirus - Unknown owner - C:\Program files\NAVNT\Rtvscan.exe (file missing)





    Les fichiers que j'avais mis en quarrantaine avast y sont toujours. Et le fichier "bizarre" dont je parlais plus haut est également toujours présent.

    Au fait, Kerio veut plus se lancer, je sais pas trop pourquoi, il me met ce message d'erreur...
    The dynamis link PocoFoundation.dll could not be found in the specified paht C\WINNT\system32;C:\WINNT\system;C:\WINNT [...]


    Voilà je pense avoir tout dit.


    Merci d'avance :)


    répondre
    Anthony10 le 04 avril 2007 à 15h33
    Bonjour,

  • Télécharge ComboFix.exe (par sUBs) sur ton Bureau
  • Double clique ComboFix.exe et suis les invites.
  • Lorsque le scan sera fini, un rapport apparaîtra.
  • Copie/colle ce rapport dans ta prochaine réponse.
    • -------
    Mon forum (avec Bruce Lee):
    http://cybersecurite.xooit.com/index.php
    répondre
    Dizaal le 04 avril 2007 à 17h15
    Hello

    Voici mon rapport :

    "C‚sa" - mer. 04/04/2007 17:04:04 Service Pack 4
    ComboFix 07-04-04.5 - Running from: "C:\Documents and Settings\Isa\Desktop"


    (((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


    C:\WINNT\system32\nfomon\License.txt
    C:\DOCUME~1\ALLUSE~1\APPLIC~1.\vidmon\vidmon.inf
    C:\DOCUME~1\ALLUSE~1\APPLIC~1.\nfo\keys.dat
    C:\DOCUME~1\ALLUSE~1\APPLIC~1.\nfo\mon0104.dbd
    C:\DOCUME~1\ALLUSE~1\APPLIC~1.\nfo\mon0106.ddx
    C:\DOCUME~1\ALLUSE~1\APPLIC~1.\nfo\mon0204.ddx
    C:\DOCUME~1\ALLUSE~1\APPLIC~1.\nfo\mon0315.ddx
    C:\DOCUME~1\ALLUSE~1\APPLIC~1.\nfo\mon0412.ddx
    C:\DOCUME~1\ALLUSE~1\APPLIC~1.\nfo\mon0504.ddx
    C:\DOCUME~1\ALLUSE~1\APPLIC~1.\nfo\mon0904.ddx
    C:\DOCUME~1\ALLUSE~1\APPLIC~1.\nfo\mon1204.ddx
    C:\DOCUME~1\ALLUSE~1\APPLIC~1.\nfo\mon1215.dbd
    C:\DOCUME~1\ALLUSE~1\APPLIC~1.\nfo\arch\1001.dfn
    C:\Program Files\pedevice\communication.xml
    C:\Program Files\pedevice\Domain.Watchlist.txt
    C:\Program Files\pedevice\Downloader.exe
    C:\Program Files\pedevice\pae-options.xml
    C:\Program Files\pedevice\pae_url.xml
    C:\Program Files\pedevice\PeDev.exe
    C:\Program Files\pedevice\pedevPS.dll
    C:\Program Files\pedevice\Preparation.dll
    C:\Program Files\pedevice\search.watchlist.txt
    C:\Program Files\pedevice\statistic.xml
    C:\Program Files\pedevice\watchlist.xml
    C:\Program Files\pedevice\tmp\tmp.html
    C:\WINNT\system32\unsvchosts.lzma
    C:\lswmv.ini
    C:\WINNT\system32\vidmon
    C:\WINNT\system32\nfomon
    C:\DOCUME~1\ALLUSE~1\APPLIC~1.\vidmon
    C:\DOCUME~1\ALLUSE~1\APPLIC~1.\nfo
    C:\Program Files\Common Files\Uninstall Information
    C:\Program Files\pedevice
    C:\Program Files\Common Files\{D0169~1
    ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~
    Folders Quarantined:
    C:\qoobox\purity\Documents and Settings\Isa\My Documents\CROSOF~1.NET
    C:\qoobox\purity\Documents and Settings\Isa\My Documents\CROSOF~1.NET\??crosoft.NET


    ((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


    -------\nm
    -------\LEGACY_COM+_MESSAGES
    -------\LEGACY_MCHINJDRV


    ((((((((((((((((((((((((((((((( Files Created from 2007-03-04 to 2007-04-04 ))))))))))))))))))))))))))))))))))


    2007-04-04 09:36 <DIR> d-------- C:\FILES
    2007-04-03 11:13 178,408 --a------ C:\WINNT\system32\muweb.dll
    2007-04-03 11:13 127,208 --a------ C:\WINNT\system32\mucltui.dll
    2007-04-03 10:14 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Live Toolbar
    2007-04-03 10:12 <DIR> d-------- C:\Program Files\Windows Live Toolbar
    2007-04-03 08:00 <DIR> d--h-c--- C:\WINNT\$SQLUninstallMDAC25SP3-KB927779-x86-ENU$
    2007-04-03 07:59 <DIR> d-------- C:\Program Files\MSXML 4.0
    2007-04-03 07:59 <DIR> d-------- C:\f9e807517437e16bc238


    (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


    2007-04-03 10:12 -------- d-------- C:\Program Files\msn apps
    2007-01-28 00:31 112798 --a------ C:\WINNT\hpoins07.dat
    2007-01-18 12:19 6 --a------ C:\DOCUME~1\Isa\APPLIC~1\dm.ini
    2007-01-18 12:19 1824 --a------ C:\DOCUME~1\Isa\APPLIC~1\adobedlm.log
    2007-01-16 23:02 16384 --a----t- C:\WINNT\system32\perflib_perfdata_210.dat
    2007-01-16 16:08 16384 --a----t- C:\WINNT\system32\perflib_perfdata_224.dat
    2007-01-16 12:52 16384 --a----t- C:\WINNT\system32\perflib_perfdata_220.dat
    2007-01-15 18:32 689280 --a------ C:\WINNT\system32\aswboot.exe
    2007-01-15 18:23 90112 --a------ C:\WINNT\system32\avastss.scr
    2007-01-14 13:55 16384 --a----t- C:\WINNT\system32\perflib_perfdata_21c.dat
    2007-01-10 11:09 212992 --a------ C:\WINNT\system32\odbc32.dll
    2007-01-05 08:49 22752 --a------ C:\WINNT\system32\spupdsvc.exe
    2007-01-04 15:18 16384 --a----t- C:\WINNT\system32\perflib_perfdata_214.dat
    2007-01-04 10:57 16384 --a----t- C:\WINNT\system32\perflib_perfdata_218.dat


    (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

    *Note* empty entries & legit default entries are not shown

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
    "internat.exe"="internat.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
    "Synchronization Manager"="mobsync.exe /logon"
    "AcroRead 5 SetLanguage"="wscript.exe \"c:\\program files\\adobe\\acrobat 5.0\\Reader\\Acrobat.vbs\""
    "%FP%Friendly fts.exe"="\"C:\\Program Files\\Friendly Technologies\\BroadbandAccess\\fts.exe\""
    "!AVG Anti-Spyware"="\"C:\\Program Files\\Antivirus\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"
    "WinampAgent"="C:\\Program Files\\Winamp\\winampa.exe"
    "UnlockerAssistant"="\"C:\\Program Files\\Antivirus\\Unlocker\\UnlockerAssistant.exe\""
    "avast!"="C:\\PROGRA~1\\ANTIVI~1\\Avast\\ashDisp.exe"
    "SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
    "HP Software Update"="C:\\Program Files\\HP\\HP Software Update\\HPWuSchd2.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
    "Installed"="1"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
    "Installed"="1"
    "NoChange"="1"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
    "Installed"="1"

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
    "^SetupICWDesktop"="C:\\Program Files\\Internet Explorer\\Connection Wizard\\icwconn1.exe /desktop"

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\runservices]
    "Intec Services Driverrs"="winrvc.exe"


    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
    "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
    "internat.exe"="internat.exe"
    "Intec Services Driverrs"="winrvc.exe"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
    "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

    HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
    Authentication Packages REG_MULTI_SZ msv1_0\0\0
    Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0\0
    Notification Packages REG_MULTI_SZ scecli\0\0

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
    rpcss REG_MULTI_SZ RpcSs\0\0
    wugroup REG_MULTI_SZ wuauserv\0\0
    BITSgroup REG_MULTI_SZ BITS\0\0



    Contents of the 'Scheduled Tasks' folder
    C:\WINNT\tasks\V‚rifier les mises … jour de Windows Live Toolbar.job


    ********************************************************************

    catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
    http://www.gmer.net

    scanning hidden processes ...

    CMD.EXE [2708]

    scanning hidden services ...

    scanning hidden autostart entries ...

    scanning hidden files ...


    scan completed successfully
    hidden processes: 1
    hidden services: 0
    hidden files: 0

    ********************************************************************

    Completion time: Wed 2007-04-04 17:13:23
    C:\ComboFix-quarantined-files.txt ... 07-04-04 17:13
    C:\ComboFix2.txt ... 06-12-30 15:51
    répondre
    Anthony10 le 06 avril 2007 à 23h22
    Bonsoir Dizaal,

    Génère un nouveau log HijackThis et envoie-le.

    Anhtony.
    -------
    Mon forum (avec Bruce Lee):
    http://cybersecurite.xooit.com/index.php
    répondre
    Dizaal le 07 avril 2007 à 12h17
    Hello,

    Oki voici mon nouveau rapport :
    Logfile of HijackThis v1.99.1
    Scan saved at 11:56:00, on 7/04/2007
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\ZoneLabs\vsmon.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Program Files\Antivirus\Avast\aswUpdSv.exe
    C:\Program Files\Antivirus\Avast\ashServ.exe
    C:\Program Files\Antivirus\AVG Anti-Spyware 7.5\guard.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\Program Files\Antivirus\Avast\ashWebSv.exe
    C:\Program Files\Antivirus\Avast\ashMaiSv.exe
    C:\WINNT\Explorer.EXE
    C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\Antivirus\Unlocker\UnlockerAssistant.exe
    C:\PROGRA~1\ANTIVI~1\Avast\ashDisp.exe
    C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\Program Files\Antivirus\ZoneAlarm\zlclient.exe
    C:\WINNT\system32\internat.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\Antivirus\Hijtakthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O3 - Toolbar: (no name) - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [AcroRead 5 SetLanguage] wscript.exe "c:\program files\adobe\acrobat 5.0\Reader\Acrobat.vbs"
    O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Antivirus\Unlocker\UnlockerAssistant.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ANTIVI~1\Avast\ashDisp.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Antivirus\ZoneAlarm\zlclient.exe"
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-be\msntabres.dll.mui/229?1f9ec3d939046f3be5033dad340a5
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-be\msntabres.dll.mui/230?1f9ec3d939046f3be5033dad340a5
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
    O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Antivirus\Avast\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Antivirus\Avast\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Antivirus\Avast\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Antivirus\Avast\ashWebSv.exe" /service (file missing)
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Antivirus\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe (file missing)
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe (file missing)
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe (file missing)
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Unknown owner - C:\Program files\NAVNT\DefWatch.exe (file missing)
    O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
    O23 - Service: SAVRoam (SavRoam) - Unknown owner - C:\Program files\NAVNT\SavRoam.exe (file missing)
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe (file missing)
    O23 - Service: Symantec AntiVirus - Unknown owner - C:\Program files\NAVNT\Rtvscan.exe (file missing)
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe



    Merci :)
    répondre
    Anthony10 le 07 avril 2007 à 20h25
    Bonjour Dizaal,

  • Ferme toutes les applications en cours.
  • Lance HijackThis.
  • Clique sur Do a system scan only.
  • Coche la case située devant la ligne suivante (Si présente) :

    • O3 - Toolbar: (no name) - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - (no file)


  • Clique sur Fixed checked.
  • Ferme HijackThis.

  • Génère et envoie un nouveau log HijackThis.

    • A suivre,
    -------
    Mon forum (avec Bruce Lee):
    http://cybersecurite.xooit.com/index.php
    répondre
    Dizaal le 08 avril 2007 à 14h33
    Hello

    Voilà c'est fait :)

    Logfile of HijackThis v1.99.1
    Scan saved at 14:28:43, on 8/04/2007
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\ZoneLabs\vsmon.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Program Files\Antivirus\Avast\aswUpdSv.exe
    C:\Program Files\Antivirus\Avast\ashServ.exe
    C:\Program Files\Antivirus\AVG Anti-Spyware 7.5\guard.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\Program Files\Antivirus\Avast\ashWebSv.exe
    C:\Program Files\Antivirus\Avast\ashMaiSv.exe
    C:\WINNT\Explorer.EXE
    C:\Program Files\Antivirus\ZoneAlarm\zlclient.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\Antivirus\Hijtakthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [AcroRead 5 SetLanguage] wscript.exe "c:\program files\adobe\acrobat 5.0\Reader\Acrobat.vbs"
    O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Antivirus\Unlocker\UnlockerAssistant.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ANTIVI~1\Avast\ashDisp.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Antivirus\ZoneAlarm\zlclient.exe"
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-be\msntabres.dll.mui/229?1f9ec3d939046f3be5033dad340a5
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-be\msntabres.dll.mui/230?1f9ec3d939046f3be5033dad340a5
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
    O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Antivirus\Avast\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Antivirus\Avast\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Antivirus\Avast\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Antivirus\Avast\ashWebSv.exe" /service (file missing)
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Antivirus\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe (file missing)
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe (file missing)
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe (file missing)
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Unknown owner - C:\Program files\NAVNT\DefWatch.exe (file missing)
    O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
    O23 - Service: SAVRoam (SavRoam) - Unknown owner - C:\Program files\NAVNT\SavRoam.exe (file missing)
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe (file missing)
    O23 - Service: Symantec AntiVirus - Unknown owner - C:\Program files\NAVNT\Rtvscan.exe (file missing)
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

    répondre
    Anthony10 le 08 avril 2007 à 22h12
    Bonsoir Dizaal,

  • Fais un scan en ligne Kaspersky avec Internet Explorer :
  • Dans la nouvelle fenêtre, clique sur J'accepte.
  • Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  • Patiente pendant l'installation des Mises à jour.
  • Choisis par la suite l'analyse du Poste de travail
  • Sauvegarde puis colle le rapport généré en fin d'analyse.

    • AIDE : Configurer le contrôle des ActiveX

    NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
    -------
    Mon forum (avec Bruce Lee):
    http://cybersecurite.xooit.com/index.php
    répondre
    Dizaal le 09 avril 2007 à 12h40
    Hello

    Après quelques déboires, voici enfin le rapport :
    KASPERSKY ON-LINE SCANNER REPORT
    Monday, April 09, 2007 12:34:14 PM
    Système d'exploitation : Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195)
    Kaspersky On-line Scanner version : 5.0.83.0
    Dernière mise à jour de la base antivirus Kaspersky : 9/04/2007
    Enregistrements dans la base antivirus Kaspersky : 276142


    Paramètres d'analyse
    Analyser avec la base antivirus suivante standard
    Analyser les archives vrai
    Analyser les bases de messagerie vrai

    Cible de l'analyse Poste de travail
    C:\
    D:\

    Statistiques de l'analyse
    Total d'objets analysés 31321
    Nombre de virus trouvés 0
    Nombre d'objets infectés 0 / 0
    Nombre d'objets suspects 0
    Durée de l'analyse 00:56:04

    Nom de l'objet infecté Nom du virus Dernière action
    C:\Documents and Settings\Default User\Cookies\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\Default User\Local Settings\History\History.IE5\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\Isa\Cookies\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\Isa\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\Isa\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

    C:\Documents and Settings\Isa\Local Settings\History\History.IE5\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\Isa\Local Settings\History\History.IE5\MSHist012007040920070410\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\Isa\Local Settings\Temp\~DFF54C.tmp L'objet est verrouillé ignoré

    C:\Documents and Settings\Isa\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\Isa\NTUSER.DAT L'objet est verrouillé ignoré

    C:\Documents and Settings\Isa\ntuser.dat.LOG L'objet est verrouillé ignoré

    C:\Program Files\Antivirus\Avast\DATA\aswResp.dat L'objet est verrouillé ignoré

    C:\Program Files\Antivirus\Avast\DATA\Avast4.db L'objet est verrouillé ignoré

    C:\Program Files\Antivirus\Avast\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré

    C:\Program Files\Antivirus\Avast\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré

    C:\Program Files\Antivirus\Avast\DATA\log\nshield.log L'objet est verrouillé ignoré

    C:\Program Files\Antivirus\Avast\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré

    C:\WINNT\CSC\00000001 L'objet est verrouillé ignoré

    C:\WINNT\Debug\ipsecpa.log L'objet est verrouillé ignoré

    C:\WINNT\Debug\oakley.log L'objet est verrouillé ignoré

    C:\WINNT\Debug\PASSWD.LOG L'objet est verrouillé ignoré

    C:\WINNT\Internet Logs\fwdbglog.txt L'objet est verrouillé ignoré

    C:\WINNT\Internet Logs\fwpktlog.txt L'objet est verrouillé ignoré

    C:\WINNT\Internet Logs\IAMDB.RDB L'objet est verrouillé ignoré

    C:\WINNT\Internet Logs\SFA221.ldb L'objet est verrouillé ignoré

    C:\WINNT\Internet Logs\tvDebug.log L'objet est verrouillé ignoré

    C:\WINNT\SchedLgU.Txt L'objet est verrouillé ignoré

    C:\WINNT\SoftwareDistribution\EventCache\{59EB3FE2-E585-429C-AE15-198100475D34}.bin L'objet est verrouillé ignoré

    C:\WINNT\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

    C:\WINNT\Sti_Trace.log L'objet est verrouillé ignoré

    C:\WINNT\system32\config\Antivirus.Evt L'objet est verrouillé ignoré

    C:\WINNT\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

    C:\WINNT\system32\config\default L'objet est verrouillé ignoré

    C:\WINNT\system32\config\default.LOG L'objet est verrouillé ignoré

    C:\WINNT\system32\config\SAM L'objet est verrouillé ignoré

    C:\WINNT\system32\config\SAM.LOG L'objet est verrouillé ignoré

    C:\WINNT\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

    C:\WINNT\system32\config\SECURITY L'objet est verrouillé ignoré

    C:\WINNT\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

    C:\WINNT\system32\config\software L'objet est verrouillé ignoré

    C:\WINNT\system32\config\software.LOG L'objet est verrouillé ignoré

    C:\WINNT\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

    C:\WINNT\system32\config\system L'objet est verrouillé ignoré

    C:\WINNT\system32\config\SYSTEM.ALT L'objet est verrouillé ignoré

    C:\WINNT\system32\ias\dnary.ldb L'objet est verrouillé ignoré

    C:\WINNT\system32\ias\ias.ldb L'objet est verrouillé ignoré

    C:\WINNT\system32\ias\ias.mdb L'objet est verrouillé ignoré

    C:\WINNT\system32\Perflib_Perfdata_28c.dat L'objet est verrouillé ignoré

    C:\WINNT\Temp\JET1EDE.tmp L'objet est verrouillé ignoré

    C:\WINNT\Temp\JET9D58.tmp L'objet est verrouillé ignoré

    C:\WINNT\Temp\ZLT00b00.TMP L'objet est verrouillé ignoré

    C:\WINNT\Temp\ZLT00b0e.TMP L'objet est verrouillé ignoré

    C:\WINNT\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré

    C:\WINNT\WindowsUpdate.log L'objet est verrouillé ignoré

    Analyse terminée.

    Merci beaucoup :)
    répondre
    Anthony10 le 10 avril 2007 à 01h56
    Bonjour,

    Le rapport du scan en ligne est "propre".
    Cependant, quels sont les déboires dont tu parles ?

    Anthony.
    -------
    Mon forum (avec Bruce Lee):
    http://cybersecurite.xooit.com/index.php
    répondre
    Dizaal le 10 avril 2007 à 09h03
    Bonjour :hello:



    He bien, pour te donner des exemples:

    - Hier, à deux reprise IE a fait "une erreur fatale". Tout le prog s'éteint. Il y a un message avec "Dr Watson... error..." je sais plus exactement. Je relance le prog et ca fonctionne à nouveau.

    (C'est ce type de problèmes qui m'avait poussée à faire une analyse avast au tout début)

    - J'ai également eu le problème où il me donnait "Impossible de se connecter au serveur...". Là, plus moyen du tout de se connecter, même après avoir fermé et ré-ouvert IE.
    Lorsque je regarde la barre sous l'écran de navigation où on peut voir l'adresse qu'il recherche je vois : "C://WINNT.system32.shdoccl.dll/error..."
    (enfin mis à part la ponctuation dont je ne suis pas sure, le reste c'est ça)

    Quoiqu'il en soit, après une nuit de repos, comme tu peux le voir, il a finalement 'accepté' de fonctionner.

    - J'ai toujours ces programmes dans ma quarrantaine avast (je sais pas si ca change qq chose) :
    C:\WINNT\sytem32\anuhcgbm.exe
    C:\WINNT\sytem32\config.exe
    C:\WINNT\sytem32\kwgdrwh.exe
    C:\Program Files\Common Files\{D0169D99-01F2-1033...}\system.dll
    C:\RECYCLER\S-1-5-18\Dc1\system.dll

    Et le prog, bizarre dont je te parlais plus haut...(mais ca, c est peut etre normal)


    Mon ordi est assez,...heuu...même très lent, mais ça c'est peut-être juste mon ordi :D



    Voilà, j'espère que tu pourras m'aider.
    Dans tous les cas, merci d'avance,

    :)
    répondre
    Anthony10 le 11 avril 2007 à 01h19
    Bonsoir Dizaal,

    Génère un nouveau rapport de ComboFix et envoie-le.

    Anthony.
    -------
    Mon forum (avec Bruce Lee):
    http://cybersecurite.xooit.com/index.php
    répondre
    Dizaal le 11 avril 2007 à 10h24
    Bonjour !

    Voici le rapport Combofix :
    "C‚sa" - mer. 11/04/2007 9:59:14 Service Pack 4
    ComboFix 07-04-04.5 - Running from: "C:\Documents and Settings\Isa\Desktop"


    (((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


    ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~
    Folders Quarantined:
    C:\qoobox\purity\Documents and Settings\Isa\My Documents\CROSOF~1.NET
    C:\qoobox\purity\Documents and Settings\Isa\My Documents\CROSOF~1.NET\??crosoft.NET


    ((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


    -------\nm
    -------\LEGACY_COM+_MESSAGES
    -------\LEGACY_MCHINJDRV


    ((((((((((((((((((((((((((((((( Files Created from 2007-03-11 to 2007-04-11 ))))))))))))))))))))))))))))))))))


    2007-04-09 09:31 <DIR> d-------- C:\WINNT\system32\Kaspersky Lab
    2007-04-08 17:52 12,592 --a------ C:\WINNT\system32\drivers\usbscan.sys
    2007-04-06 12:03 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_28c.dat
    2007-04-06 11:53 54,936 --a------ C:\WINNT\system32\vsutil_loc040c.dll
    2007-04-06 11:53 42,648 --a------ C:\WINNT\zllsputility_loc040c.dll
    2007-04-06 11:53 4,212 ---h----- C:\WINNT\system32\zllictbl.dat
    2007-04-06 11:53 22,168 --a------ C:\WINNT\system32\imsinstall_loc040c.dll
    2007-04-06 11:53 18,072 --a------ C:\WINNT\system32\imslsp_install_loc040c.dll
    2007-04-06 11:52 75,512 --a------ C:\WINNT\zllsputility.exe
    2007-04-06 11:52 11,264 --a------ C:\WINNT\system32\SpOrder.dll
    2007-04-06 11:51 1,087,216 --a------ C:\WINNT\system32\zpeng24.dll
    2007-04-06 11:51 <DIR> d-a------ C:\WINNT\system32\ZoneLabs
    2007-04-06 11:49 <DIR> d-a------ C:\WINNT\Internet Logs
    2007-04-04 09:36 <DIR> d-------- C:\FILES
    2007-04-03 11:13 178,408 --a------ C:\WINNT\system32\muweb.dll
    2007-04-03 11:13 127,208 --a------ C:\WINNT\system32\mucltui.dll
    2007-04-03 10:14 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Live Toolbar
    2007-04-03 10:12 <DIR> d-------- C:\Program Files\Windows Live Toolbar
    2007-04-03 08:00 <DIR> d--h-c--- C:\WINNT\$SQLUninstallMDAC25SP3-KB927779-x86-ENU$
    2007-04-03 07:59 <DIR> d-------- C:\Program Files\MSXML 4.0
    2007-04-03 07:59 <DIR> d-------- C:\f9e807517437e16bc238


    (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


    2007-04-03 10:12 -------- d-------- C:\Program Files\msn apps
    2007-03-06 12:17 38160 --a------ C:\WINNT\system32\mf3216.dll
    2007-03-06 12:17 381200 --a------ C:\WINNT\system32\user32.dll
    2007-03-06 12:17 235280 --a------ C:\WINNT\system32\gdi32.dll
    2007-03-06 07:12 1641936 --a------ C:\WINNT\system32\win32k.sys
    2007-02-25 17:15 -------- d-------- C:\Program Files\google
    2007-01-28 00:31 112798 --a------ C:\WINNT\hpoins07.dat
    2007-01-18 12:19 6 --a------ C:\DOCUME~1\Isa\APPLIC~1\dm.ini
    2007-01-18 12:19 1824 --a------ C:\DOCUME~1\Isa\APPLIC~1\adobedlm.log
    2007-01-16 23:02 16384 --a----t- C:\WINNT\system32\perflib_perfdata_210.dat
    2007-01-16 16:08 16384 --a----t- C:\WINNT\system32\perflib_perfdata_224.dat
    2007-01-16 12:52 16384 --a----t- C:\WINNT\system32\perflib_perfdata_220.dat
    2007-01-15 18:32 689280 --a------ C:\WINNT\system32\aswboot.exe
    2007-01-15 18:23 90112 --a------ C:\WINNT\system32\avastss.scr
    2007-01-14 13:55 16384 --a----t- C:\WINNT\system32\perflib_perfdata_21c.dat


    (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

    *Note* empty entries & legit default entries are not shown

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
    "internat.exe"="internat.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
    "Synchronization Manager"="mobsync.exe /logon"
    "AcroRead 5 SetLanguage"="wscript.exe \"c:\\program files\\adobe\\acrobat 5.0\\Reader\\Acrobat.vbs\""
    "%FP%Friendly fts.exe"="\"C:\\Program Files\\Friendly Technologies\\BroadbandAccess\\fts.exe\""
    "WinampAgent"="C:\\Program Files\\Winamp\\winampa.exe"
    "UnlockerAssistant"="\"C:\\Program Files\\Antivirus\\Unlocker\\UnlockerAssistant.exe\""
    "avast!"="C:\\PROGRA~1\\ANTIVI~1\\Avast\\ashDisp.exe"
    "SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
    "HP Software Update"="C:\\Program Files\\HP\\HP Software Update\\HPWuSchd2.exe"
    "ZoneAlarm Client"="\"C:\\Program Files\\Antivirus\\ZoneAlarm\\zlclient.exe\""

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
    "Installed"="1"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
    "Installed"="1"
    "NoChange"="1"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
    "Installed"="1"

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
    "^SetupICWDesktop"="C:\\Program Files\\Internet Explorer\\Connection Wizard\\icwconn1.exe /desktop"

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\runservices]
    "Intec Services Driverrs"="winrvc.exe"


    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
    "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
    "internat.exe"="internat.exe"
    "Intec Services Driverrs"="winrvc.exe"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
    "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

    HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
    Authentication Packages REG_MULTI_SZ msv1_0\0\0
    Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0\0
    Notification Packages REG_MULTI_SZ scecli\0\0

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
    rpcss REG_MULTI_SZ RpcSs\0\0
    wugroup REG_MULTI_SZ wuauserv\0\0
    BITSgroup REG_MULTI_SZ BITS\0\0



    Contents of the 'Scheduled Tasks' folder
    C:\WINNT\tasks\V‚rifier les mises … jour de Windows Live Toolbar.job


    ********************************************************************

    catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
    http://www.gmer.net

    scanning hidden processes ...

    scanning hidden services ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    ********************************************************************

    Completion time: Wed 2007-04-11 10:09:07
    C:\ComboFix-quarantined-files.txt ... 07-04-11 10:09
    C:\ComboFix2.txt ... 07-04-04 17:13
    C:\ComboFix3.txt ... 06-12-30 15:51


    Merci
    répondre
    Dizaal le 11 avril 2007 à 10h26
    Ah, au fait, hier j'ai eu un problème en envoyant un mail. Il y avait un fichier word joint à mon mail. Le destinataire n'a pu l'ouvrir qu'après pas mal de chippotages.
    Je sais pas si ça venait de moi ou de lui mais c'est vachement ennuyeux :(
    répondre
    Anthony10 le 12 avril 2007 à 01h46
    Bonsoir Dizaal,

  • Télécharge The Avenger (de Swandog46) sur ton Bureau.
  • Dézippe-le sur ton Bureau.

  • Ouvre le Bloc-Notes puis copie la citation ci-dessous.

    • Drivers to unload:
    LEGACY_COM+_MESSAGES
    LEGACY_MCHINJDRV

    Registry keys to delete:
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_COM+_MESSAGES\0000
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_COM+_MESSAGES
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COM+ Messages
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_COM+_MESSAGES\0000
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_COM+_MESSAGES
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\COM+ Messages
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_COM+_MESSAGES\0000
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_COM+_MESSAGES
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\COM+ Messages
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_COM+_MESSAGES\0000
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_COM+_MESSAGES
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COM+ Messages
    HKEY_USERS\.default\software\microsoft\windows\currentversion\runservices\Intec Services Driverrs
    HKEY_USERS\.default\software\microsoft\windows\currentversion\run\Intec Services Driverrs


  • Clique sur le menu déroulant Edition et clique sur Coller
  • Clique sur le menu déroulant Fichier et clique sur Enregister sous...
  • Enregistre-le sur ton Bureau sous le nom de remove.txt.

  • Double-clique sur avenger.exe pour lancer l'outil.
  • A la fenêtre d'avertissement, clique sur OK.
  • Coche le bouton devant Load Script from File.
  • Clique sur l'icône en forme de dossier.
  • Recherche et double-clique sur remove.txt.
  • Clique sur le feu vert pour lancer le script.
  • A la fenêtre de confirmation, clique sur Oui.
  • A la fenêtre de redémarrage, clique sur Oui (Le rapport s'affichera au redémarrage).

  • Le rapport sera généré à l'endroit suivant : C:\avenger.txt
  • Dans ta future réponse, envoie ce rapport.

    • A suivre,

    -->Message édité par Anthony10 le 13/04/2007 02:05:32<--
    -------
    Mon forum (avec Bruce Lee):
    http://cybersecurite.xooit.com/index.php
    répondre
    Dizaal le 12 avril 2007 à 09h05
    Ca ne fonctionne pas.
    J'ai fait comme tu me l'as indiqué.

    J'ai créé un fichier remove.txt sur mon bureau avec la citation ci-dessus. Je poursuis et lorsque je lance le script il me met :
    -Comme attendu "Are you sur you want to execute the commands in the selected script ?" --> là je clique sur "yes"

    - Ensuite il me met "Error: selected file does not appear to be a valid script"
    - Après, "Press Ok to log error and to continue or cancel to arbor"

    si je mets ok, il me repond : "Error 1813" et me met "could not log error"

    Et il me crée un fichier errorlog.txt sur mon bureau avec
    //////////////////////////////////////////
    Avenger Pre-Processor log
    //////////////////////////////////////////

    Error: selected file does not appear to be a valid script.
    Error code: 5





    Je sais pas quoi faire. :(
    répondre
    Anthony10 le 13 avril 2007 à 02h04
    Bonsoir Dizaal,

    J'ai commis une erreur dans le script, MEA CULPA !
    Reéxécute les instructions de mon précédent message.

    Anthony.
    -------
    Mon forum (avec Bruce Lee):
    http://cybersecurite.xooit.com/index.php
    répondre


    PRODUITS

    TÉLÉCHARGER - LOGICIELS

    JEUX VIDÉOS

    LOISIRS

    01NET PRO

    AVIS ET COMMENTAIRES

    A PROPOS DE 01NET

    Forum de 01net / Sécurité / win32:Ircbot-AHK, Rbot-CWG, Softomate-B
    publicité
    > Sécurité :
    Norton Antivirus 2010
    La solution antivirale la plus répandue du monde.

    Service 01net
    Newsletters 01net
    abonnez vous gratuitement !
    Actus
    Voir le dernier numéro
    Entreprise
    Voir le dernier numéro
      
    01Informatique
    01 INFORMATIQUE
    L'hebdo de référence des décideurs informatiques.
    Micro Hebdo
    MICRO HEBDO
    L'hebdo qui vous simplifie la micro
    et Internet.
    L'Ordinateur Individuel
    L'ORDINATEUR INDIVIDUEL
    Le mensuel informatique qui vous informe et vous conseille.
    Nous contacter  |  Charte de confiance  |  Voir notice légale

    01net.  -  01men  -  RMC  -  BFM Radio  -  BFM TV  -  TousLesPodcasts  -  01informatique.fr  -  Association RMC-BFM
    Tous droits réservés © 1999 - 2009 Internext - 01net.