|
|
Auteur
|
Message
|
1
|
|
|
|
Bonjour tout le monde, alors que je faisais une petite vérification de mon système avec Spyware Doctor (que je n'ai qu'en version "demo"), je tombe sur ces deux mignons petits trojan. Le problème est que mon antivirus, Norton 360, ne les détecte pas, et que ces trojans accèdent à mes données et les renvoient, comme le ferait tout bon spyware.
Donc ma question est simple : comment m'en débarrasser ? Même si je me doute que la réponse, elle, est plus délicate ^^ merci d'avance 
edit : Ah et aussi, je suis prêt à formater mon PC, si je sais que ça va éliminer les menaces...
-->Message édité par Canard14 le 09/06/2008 20:08:02<--
|
|
|
|
|
Bonjour,
Télécharge Deckard's System Scanner sur le bureau.
Ferme toutes les applications en cours, antivirus y compris.
Double-clique sur DSS pour lancer le soft.
S'il ne trouve pas HijackThis, clique sur Oui.
Clique sur OK à chaque fois que cela sera demandé.
L'analyse finie, un fichier texte s'affichera.
Poste son contenu dans ta prochaine réponse.
Note : Le rapport se trouve ici : C:\Deckard\System Scanner\main.txt.
|
|
|
|
|
Salut Hate-Love-Anger, et merci de ta réponse
Alors voilà le rapport que j'obtiens :
Deckard's System Scanner v20071014.68
Run by HP_Propriétaire on 2008-06-08 17:43:08
Computer is in Normal Mode.
--------------------------------------------------------------------------------
-- System Restore --------------------------------------------------------------
-- Last 5 Restore Point(s) --
79: 2008-06-08 15:40:06 UTC - RP79 - Deckard's System Scanner Restore Point
78: 2008-06-07 14:08:50 UTC - RP78 - Point de vérification système
77: 2008-06-04 20:45:09 UTC - RP77 - Point de vérification système
76: 2008-06-03 19:38:06 UTC - RP76 - Point de vérification système
75: 2008-06-02 18:23:03 UTC - RP75 - Point de vérification système
-- First Restore Point --
1: 2008-03-27 20:49:01 UTC - RP1 - Le KB893803v2 pour Windows Installer a été installé.
Backed up registry hives.
Performed disk cleanup.
-- HijackThis (run as HP_Propriétaire.exe) -------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:47:42, on 08/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jucheck.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hphmon06.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\keyhook.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\vVX3000.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Documents and Settings\HP_Propriétaire\Bureau\dss.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\HP_Propriétaire.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c(...)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&(...)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&(...)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&(...)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c(...)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&(...)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&(...)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&(...)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c(...)
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c(...)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: Afficher Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - Winlogon Notify: Fly - C:\WINDOWS\SYSTEM32\smart.dll
O20 - Winlogon Notify: Love - C:\WINDOWS\SYSTEM32\LoveFly.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
--
End of file - 10505 bytes
-- File Associations -----------------------------------------------------------
All associations okay.
-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------
R1 atitray - c:\program files\ray adams\ati tray tools\atitray.sys
R3 Iviaspi (IVI ASPI Shell) - c:\windows\system32\drivers\iviaspi.sys <Not Verified; InterVideo, Inc.; InterVideo ASPI Shell>
R3 Pfc (Padus ASPI Shell) - c:\windows\system32\drivers\pfc.sys <Not Verified; Padus, Inc.; Padus(R) ASPI Shell>
-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------
R2 Apple Mobile Device - "c:\program files\fichiers communs\apple\mobile device support\bin\applemobiledeviceservice.exe" <Not Verified; Apple, Inc.; Apple Mobile Device Service>
R2 Bonjour Service (Service Bonjour) - "c:\program files\bonjour\mdnsresponder.exe" <Not Verified; Apple Inc.; Bonjour>
-- Device Manager: Disabled ----------------------------------------------------
Class GUID: {EEC5AD98-8080-425F-922A-DABF3DE3F69A}
Description: Creative Zen V Plus
Device ID: USB\VID_041E&PID_4152\9D9ACF900002FB49
Manufacturer: (Standard MTP-compliant devices)
Name: Creative Zen V Plus
PNP Device ID: USB\VID_041E&PID_4152\9D9ACF900002FB49
Service:
-- Scheduled Tasks -------------------------------------------------------------
2008-05-26 22:19:10 292 --a------ C:\WINDOWS\Tasks\Connexion facile à Internet.job
2008-05-22 22:39:04 284 --a------ C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
-- Files created between 2008-05-08 and 2008-06-08 -----------------------------
2008-06-08 17:47:29 0 d-------- C:\Program Files\Trend Micro
2008-06-08 16:48:57 0 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-06-08 16:48:28 0 d-------- C:\Program Files\Spyware Doctor
2008-06-08 16:48:28 0 d-------- C:\Documents and Settings\HP_Propriétaire\Application Data\PC Tools
2008-06-06 20:54:03 0 d-------- C:\Program Files\Wrath of the Lich King Friends and Family Alpha
2008-06-06 20:51:09 0 d-------- C:\Program Files\Screenshots
2008-06-04 11:48:25 0 d-------- C:\Documents and Settings\HP_Propriétaire\Application Data\WinRAR
2008-06-02 01:19:52 0 d-------- C:\Program Files\WotLK-F&F-frFR
2008-06-01 17:23:47 0 d-------- C:\Documents and Settings\HP_Propriétaire\Application Data\Grisoft
2008-06-01 17:22:08 0 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-06-01 17:22:01 0 d-------- C:\Program Files\AVG Anti-Spyware 7.5
2008-06-01 17:17:07 0 d-------- C:\Program Files\Lavasoft
2008-06-01 17:17:06 0 d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-06-01 17:16:01 0 d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-06-01 15:44:54 0 d-------- C:\SISMOLOG
2008-05-28 21:59:06 35840 --a------ C:\WINDOWS\system32\smart.dll <Not Verified; Microsoft Corporation; Microsoft? Windows? Operating System>
2008-05-28 21:59:06 37376 --a------ C:\WINDOWS\system32\LoveFly.dll <Not Verified; Microsoft Corporation; Microsoft? Windows? Operating System>
2008-05-26 22:18:14 49152 --a------ C:\WINDOWS\system32\mydll.dll
2008-05-26 22:18:14 57344 --a------ C:\WINDOWS\system32\HookAPINT.dll
2008-05-26 22:18:13 0 d-------- C:\Program Files\gamespeed
2008-05-17 23:11:57 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Talkback
2008-05-17 23:11:34 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Mozilla
2008-05-17 23:10:23 0 d-------- C:\Documents and Settings\Administrateur\WINDOWS
2008-05-17 23:10:23 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-05-17 23:10:23 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-05-17 23:10:23 0 dr-h----- C:\Documents and Settings\Administrateur\SendTo
2008-05-17 23:10:23 0 dr-h----- C:\Documents and Settings\Administrateur\Recent
2008-05-17 23:10:23 0 d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-05-17 23:10:23 0 dr------- C:\Documents and Settings\Administrateur\Mes documents
2008-05-17 23:10:23 0 dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-05-17 23:10:23 0 d--h----- C:\Documents and Settings\Administrateur\Local Settings
2008-05-17 23:10:23 0 dr------- C:\Documents and Settings\Administrateur\Favoris
2008-05-17 23:10:23 0 d---s---- C:\Documents and Settings\Administrateur\Cookies
2008-05-17 23:10:23 0 d-------- C:\Documents and Settings\Administrateur\Bureau
2008-05-17 23:10:23 0 dr-h----- C:\Documents and Settings\Administrateur\Application Data
2008-05-17 23:10:23 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Symantec
2008-05-17 23:10:23 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Sun
2008-05-17 23:10:23 0 d-------- C:\Documents and Settings\Administrateur\Application Data\SampleView
2008-05-17 23:10:23 0 d---s---- C:\Documents and Settings\Administrateur\Application Data\Microsoft
2008-05-17 23:10:23 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Intervideo
2008-05-17 23:10:23 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Identities
2008-05-17 23:10:23 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Apple Computer
2008-05-17 23:10:22 1572864 --ah----- C:\Documents and Settings\Administrateur\NTUSER.DAT
2008-05-17 17:56:32 0 d-------- C:\Documents and Settings\HP_Propriétaire\Application Data\Turbine
2008-05-17 17:22:49 0 d-------- C:\Program Files\Turbine
2008-05-17 15:05:01 0 d-------- C:\Documents and Settings\HP_Propriétaire\Application Data\GetRightToGo
2008-05-13 00:13:39 0 d-------- C:\Program Files\iPod
2008-05-12 23:09:24 60416 --a------ C:\WINDOWS\ALCFDRTM.EXE <Not Verified; Realtek Semiconductor Corp.; Realtek ALCFDRTM>
2008-05-10 19:24:00 2829 --a------ C:\WINDOWS\War3Unin.pif
2008-05-10 19:24:00 126976 --a------ C:\WINDOWS\War3Unin.exe <Not Verified; Blizzard Entertainment; Warcraft III Uninstaller>
2008-05-10 19:24:00 17883 --a------ C:\WINDOWS\War3Unin.dat
2008-05-10 19:21:05 0 d-------- C:\Program Files\Warcraft III
2008-05-10 14:57:41 0 d-------- C:\Program Files\EACom
2008-05-10 14:55:28 0 d-------- C:\Program Files\Electronic Arts
2008-05-10 14:49:07 0 d-------- C:\Westwood
-- Find3M Report ---------------------------------------------------------------
2008-06-08 17:46:40 0 d-------- C:\Program Files\Fichiers communs\Symantec Shared
2008-06-08 16:49:56 475866 --a------ C:\WINDOWS\system32\perfh00C.dat
2008-06-08 16:49:56 77908 --a------ C:\WINDOWS\system32\perfc00C.dat
2008-06-05 20:10:32 1274 --a------ C:\Documents and Settings\HP_Propriétaire\Application Data\wklnhst.dat
2008-06-03 17:09:33 0 d-------- C:\Program Files\World of Warcraft
2008-06-02 23:04:53 58 --a------ C:\Program Files\realmlist.wtf <REALML~1.WTF>
2008-06-02 00:59:39 0 d-------- C:\Program Files\Fichiers communs\Blizzard Entertainment
2008-06-01 18:12:09 0 d-------- C:\Program Files\Norton 360
2008-06-01 17:16:01 0 d-------- C:\Program Files\Fichiers communs
2008-05-30 23:50:11 0 d-------- C:\Program Files\Symantec
2008-05-26 22:35:04 46308 --ah----- C:\WINDOWS\system32\mlfcache.dat
2008-05-26 22:19:10 0 d-------- C:\Program Files\Easy Internet signup
2008-05-22 18:51:44 0 d-------- C:\Program Files\eMule
2008-05-18 13:07:05 0 d-------- C:\Documents and Settings\HP_Propriétaire\Application Data\OpenOffice.org2
2008-05-13 18:27:56 0 d-------- C:\Program Files\Apple Software Update
2008-05-13 00:13:53 0 d-------- C:\Program Files\iTunes
2008-05-13 00:12:32 0 d-------- C:\Program Files\QuickTime
2008-05-07 11:15:49 0 d-------- C:\Documents and Settings\HP_Propriétaire\Application Data\AdobeUM
2008-04-25 22:11:26 0 d-------- C:\Program Files\Messenger Plus! Live
2008-04-25 15:20:34 0 d-------- C:\Documents and Settings\HP_Propriétaire\Application Data\HP
2008-04-24 19:58:24 0 d-------- C:\Documents and Settings\HP_Propriétaire\Application Data\Intervideo
2008-04-22 13:10:12 0 d-------- C:\Program Files\OpenOffice.org 2.4
2008-03-28 00:20:00 132088 --a------ C:\WINDOWS\hpoins11.dat
2008-03-27 23:28:23 0 --a------ C:\WINDOWS\nsreg.dat
-- Registry Dump ---------------------------------------------------------------
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{549B5CA7-4A86-11D7-A4DF-000874180BB3}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe" [01/01/2004 16:07]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [07/05/1998 17:04]
"HPHUPD06"="c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe" [07/06/2004 19:53]
"HPHmon06"="C:\WINDOWS\system32\hphmon06.exe" [07/06/2004 19:43]
"KBD"="C:\HP\KBD\KBD.EXE" [11/02/2003 21:02]
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [14/04/2004 21:43]
"VTTimer"="VTTimer.exe" []
"SiS Windows KeyHook"="C:\WINDOWS\system32\keyhook.exe" [20/05/2004 10:47]
"AGRSMMSG"="AGRSMMSG.exe" [29/06/2004 18:06 C:\WINDOWS\AGRSMMSG.exe]
"SoundMan"="SOUNDMAN.EXE" [01/07/2004 19:58 C:\WINDOWS\SOUNDMAN.EXE]
"PS2"="C:\WINDOWS\system32\ps2.exe" [16/10/2002 17:57]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [24/06/2004 22:10]
"AlcWzrd"="ALCWZRD.EXE" [06/07/2004 02:05 C:\WINDOWS\ALCWZRD.EXE]
"Alcmtr"="ALCMTR.EXE" [03/07/2004 03:49 C:\WINDOWS\ALCMTR.EXE]
"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [09/01/2007 23:59]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [19/02/2006 03:41]
"Symantec PIF AlertEng"="C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [29/01/2008 18:38]
"LifeCam"="C:\Program Files\Microsoft LifeCam\LifeExp.exe" [17/05/2007 23:45]
"VX3000"="C:\WINDOWS\vVX3000.exe" [10/04/2007 23:46]
"Microsoft Works Update Detection"="C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [10/06/2003 18:49]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [28/03/2008 23:37]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [30/03/2008 10:36]
"!AVG Anti-Spyware"="C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe" [11/06/2007 11:25]
"ISTray"="C:\Program Files\Spyware Doctor\pctsTray.exe" [10/04/2008 15:14]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AtiTrayTools"="C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe" [22/05/2007 11:04]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [19/02/2006 05:21:22]
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [14/12/2004 04:44:06]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [13/02/2001 10:01:04]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Fly]
smart.dll 28/05/2008 21:59 35840 C:\WINDOWS\system32\smart.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Love]
LoveFly.dll 28/05/2008 21:59 37376 C:\WINDOWS\system32\LoveFly.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice"
*Newly Created Service* - COMHOST
-- End of Deckard's System Scanner: finished at 2008-06-08 17:48:55 ------------
|
|
|
|
|
[~] Aller dans poste de travail/outils/option des dossiers/affichage/afficher les fichiers et dossiers cachés/Appliquer - - > OK
[~] Aller dans poste de travail/outils/option des dossiers/affichage/décocher masquer les fichiers protégés du système d'exploitation./Appliquer - - > OK
Tu recocheras après.
[~] Poste de travail/outils/option des dossiers/affichage/décocher masquer les extensions dont le type est connu./Appliquer - - > OK
Rends toi sur ce lien : Virus Total
Clique sur Parcourir
Rends toi jusque sur ce fichier si tu le trouves (tu fais la manip' qui suit fichier par fichier) :
C:\WINDOWS\SYSTEM32\smart.dll
C:\WINDOWS\SYSTEM32\LoveFly.dll
Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
Une nouvelle fenêtre de ton navigateur va apparaître
Clique alors sur cette image : 
Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
Enfin colle le résultat dans ta prochaine réponse.
Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.
Aide : Comment scanner un fichier sur Virus Total.
@+
|
|
|
|
|
Pour le premier fichier :
Fichier smart.dll reçu le 2008.06.08 18:11:51 (CET)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.30.1 2008.06.05 -
AntiVir 7.8.0.55 2008.06.06 HEUR/Crypted
Authentium 5.1.0.4 2008.06.08 -
Avast 4.8.1195.0 2008.06.08 -
AVG 7.5.0.516 2008.06.07 PSW.Generic6.MHR
BitDefender 7.2 2008.06.08 Trojan.Generic.282404
CAT-QuickHeal 9.50 2008.06.07 -
ClamAV 0.92.1 2008.06.08 -
DrWeb 4.44.0.09170 2008.06.08 Trojan.PWS.Wow.origin
eSafe 7.0.15.0 2008.06.05 -
eTrust-Vet 31.6.5858 2008.06.08 -
Ewido 4.0 2008.06.08 -
F-Prot 4.4.4.56 2008.06.08 -
F-Secure 6.70.13260.0 2008.06.08 -
Fortinet 3.14.0.0 2008.06.08 -
GData 2.0.7306.1023 2008.06.08 -
Ikarus T3.1.1.26.0 2008.06.08 Trojan-PWS.Win32.WOW.aic
Kaspersky 7.0.0.125 2008.06.08 -
McAfee 5312 2008.06.06 -
Microsoft 1.3604 2008.06.08 -
NOD32v2 3165 2008.06.06 a variant of Win32/PSW.WOW.NDJ
Norman 5.80.02 2008.06.06 -
Panda 9.0.0.4 2008.06.08 Trj/Wow.RJ
Prevx1 V2 2008.06.08 Malicious Software
Rising 20.47.42.00 2008.06.06 Trojan.PSW.Win32.GamesOnline.aee
Sophos 4.30.0 2008.06.08 Sus/Behav-1012
Sunbelt 3.0.1145.1 2008.06.05 Fearless Web Downloader
Symantec 10 2008.06.08 -
TheHacker 6.2.92.339 2008.06.07 -
VBA32 3.12.6.7 2008.06.08 suspected of Trojan-PSW.Game.42 (paranoid heuristics)
VirusBuster 4.3.26:9 2008.06.08 -
Webwasher-Gateway 6.6.2 2008.06.08 Heuristic.Crypted
Information additionnelle
File size: 35840 bytes
MD5...: 33b1cd8ed524e4574ab14c024e910e0a
SHA1..: e91e596bf6b46d128410f830e53b1bab07c06988
SHA256: 8feddc771f370dbdf56330717da1db7f0c0da173694585b5e62706090a3bf564
SHA512: 57afde3ebf5a05d2234fc0a76146a599ec6b125c1b00a7be00e145c2ee7c2253<br>4ca1d4189a05d77686f11d9f05da4a46da75c59dcaf23f6caedada8f0631f725
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x4043ee<br>timedatestamp.....: 0x3039 (Thu Jan 01 03:25:45 1970)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x6e87 0x7000 6.49 af63a3da162ed222a944d206e73803b1<br>.data 0x8000 0x8b4 0x400 3.89 1be9323549080e020e7afe50fa9dc239<br>.link 0x9000 0xafa 0xc00 4.47 1164ae7efbfaec2922417e4634c3fc5c<br>.rsrc 0xa000 0x3f8 0x400 3.39 afe4bac65598723a379a23a683a1b863<br>.rloc 0xb000 0x340 0x400 5.82 ca48fba7e022eca4349cfeff56e1f199<br><br>( 8 imports ) <br>> ADVAPI32.DLL: AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken<br>> GDI32.DLL: MoveToEx<br>> KERNEL32.DLL: CloseHandle, CreateFileA, CreateThread, DeleteFileA, ExitProcess, FindClose, FindFirstFileA, FindNextFileA, FreeEnvironmentStringsA, GetCommandLineA, GetCurrentThreadId, GetEnvironmentStringsA, GetEnvironmentVariableA, GetExitCodeThread, GetFileSize, GetFileType, GetLastError, GetModuleFileNameA, GetModuleHandleA, GetProcAddress, GetStartupInfoA, GetStringTypeA, GetVersionExA, GetVolumeInformationA, GlobalAlloc, GlobalFree, GlobalReAlloc, MoveFileA, MultiByteToWideChar, OpenProcess, ReadFile, ResumeThread, SetEndOfFile, SetEnvironmentVariableA, SetErrorMode, SetFilePointer, SetLastError, Sleep, SuspendThread, TlsAlloc, TlsFree, TlsGetValue, TlsSetValue, WaitForSingleObject, WideCharToMultiByte, WriteFile, CreateMutexA, CreateRemoteThread, FlushInstructionCache, FreeLibraryAndExitThread, GetCurrentProcess, IsBadStringPtrA, OpenMutexA, VirtualAllocEx, VirtualFreeEx, VirtualProtect, WriteProcessMemory, lstrcmpiA, lstrlenA, RtlMoveMemory, CreateToolhelp32Snapshot, Process32First, Process32Next<br>> OLE32.DLL: CLSIDFromProgID, CoCreateInstance, CoInitialize, CoUninitialize, ProgIDFromCLSID<br>> OLEAUT32.DLL: GetActiveObject, SafeArrayCreate, SysAllocStringByteLen, SysFreeString, SysStringByteLen, VariantClear, VariantCopy<br>> USER32.DLL: CharLowerBuffA, CharNextA, CharUpperBuffA, CreateDialogIndirectParamA, CreateDialogParamA, CreateWindowExA, DialogBoxIndirectParamA, DialogBoxParamA, GetWindow<br>> URLMON.DLL: URLDownloadToFileA<br>> WININET.DLL: InternetOpenA, InternetCloseHandle, InternetConnectA, InternetOpenUrlA, InternetReadFile, DeleteUrlCacheEntry<br><br>( 0 exports ) <br>
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=635E05A000776FA48C4D006652429E(...)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.30.1 2008.06.05 -
AntiVir 7.8.0.55 2008.06.06 HEUR/Crypted
Authentium 5.1.0.4 2008.06.08 -
Avast 4.8.1195.0 2008.06.08 -
AVG 7.5.0.516 2008.06.07 PSW.Generic6.MHR
BitDefender 7.2 2008.06.08 Trojan.Generic.282404
CAT-QuickHeal 9.50 2008.06.07 -
ClamAV 0.92.1 2008.06.08 -
DrWeb 4.44.0.09170 2008.06.08 Trojan.PWS.Wow.origin
eSafe 7.0.15.0 2008.06.05 -
eTrust-Vet 31.6.5858 2008.06.08 -
Ewido 4.0 2008.06.08 -
F-Prot 4.4.4.56 2008.06.08 -
F-Secure 6.70.13260.0 2008.06.08 -
Fortinet 3.14.0.0 2008.06.08 -
GData 2.0.7306.1023 2008.06.08 -
Ikarus T3.1.1.26.0 2008.06.08 Trojan-PWS.Win32.WOW.aic
Kaspersky 7.0.0.125 2008.06.08 -
McAfee 5312 2008.06.06 -
Microsoft 1.3604 2008.06.08 -
NOD32v2 3165 2008.06.06 a variant of Win32/PSW.WOW.NDJ
Norman 5.80.02 2008.06.06 -
Panda 9.0.0.4 2008.06.08 Trj/Wow.RJ
Prevx1 V2 2008.06.08 Malicious Software
Rising 20.47.42.00 2008.06.06 Trojan.PSW.Win32.GamesOnline.aee
Sophos 4.30.0 2008.06.08 Sus/Behav-1012
Sunbelt 3.0.1145.1 2008.06.05 Fearless Web Downloader
Symantec 10 2008.06.08 -
TheHacker 6.2.92.339 2008.06.07 -
VBA32 3.12.6.7 2008.06.08 suspected of Trojan-PSW.Game.42 (paranoid heuristics)
VirusBuster 4.3.26:9 2008.06.08 -
Webwasher-Gateway 6.6.2 2008.06.08 Heuristic.Crypted
Information additionnelle
File size: 35840 bytes
MD5...: 33b1cd8ed524e4574ab14c024e910e0a
SHA1..: e91e596bf6b46d128410f830e53b1bab07c06988
SHA256: 8feddc771f370dbdf56330717da1db7f0c0da173694585b5e62706090a3bf564
SHA512: 57afde3ebf5a05d2234fc0a76146a599ec6b125c1b00a7be00e145c2ee7c2253<br>4ca1d4189a05d77686f11d9f05da4a46da75c59dcaf23f6caedada8f0631f725
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x4043ee<br>timedatestamp.....: 0x3039 (Thu Jan 01 03:25:45 1970)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x6e87 0x7000 6.49 af63a3da162ed222a944d206e73803b1<br>.data 0x8000 0x8b4 0x400 3.89 1be9323549080e020e7afe50fa9dc239<br>.link 0x9000 0xafa 0xc00 4.47 1164ae7efbfaec2922417e4634c3fc5c<br>.rsrc 0xa000 0x3f8 0x400 3.39 afe4bac65598723a379a23a683a1b863<br>.rloc 0xb000 0x340 0x400 5.82 ca48fba7e022eca4349cfeff56e1f199<br><br>( 8 imports ) <br>> ADVAPI32.DLL: AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken<br>> GDI32.DLL: MoveToEx<br>> KERNEL32.DLL: CloseHandle, CreateFileA, CreateThread, DeleteFileA, ExitProcess, FindClose, FindFirstFileA, FindNextFileA, FreeEnvironmentStringsA, GetCommandLineA, GetCurrentThreadId, GetEnvironmentStringsA, GetEnvironmentVariableA, GetExitCodeThread, GetFileSize, GetFileType, GetLastError, GetModuleFileNameA, GetModuleHandleA, GetProcAddress, GetStartupInfoA, GetStringTypeA, GetVersionExA, GetVolumeInformationA, GlobalAlloc, GlobalFree, GlobalReAlloc, MoveFileA, MultiByteToWideChar, OpenProcess, ReadFile, ResumeThread, SetEndOfFile, SetEnvironmentVariableA, SetErrorMode, SetFilePointer, SetLastError, Sleep, SuspendThread, TlsAlloc, TlsFree, TlsGetValue, TlsSetValue, WaitForSingleObject, WideCharToMultiByte, WriteFile, CreateMutexA, CreateRemoteThread, FlushInstructionCache, FreeLibraryAndExitThread, GetCurrentProcess, IsBadStringPtrA, OpenMutexA, VirtualAllocEx, VirtualFreeEx, VirtualProtect, WriteProcessMemory, lstrcmpiA, lstrlenA, RtlMoveMemory, CreateToolhelp32Snapshot, Process32First, Process32Next<br>> OLE32.DLL: CLSIDFromProgID, CoCreateInstance, CoInitialize, CoUninitialize, ProgIDFromCLSID<br>> OLEAUT32.DLL: GetActiveObject, SafeArrayCreate, SysAllocStringByteLen, SysFreeString, SysStringByteLen, VariantClear, VariantCopy<br>> USER32.DLL: CharLowerBuffA, CharNextA, CharUpperBuffA, CreateDialogIndirectParamA, CreateDialogParamA, CreateWindowExA, DialogBoxIndirectParamA, DialogBoxParamA, GetWindow<br>> URLMON.DLL: URLDownloadToFileA<br>> WININET.DLL: InternetOpenA, InternetCloseHandle, InternetConnectA, InternetOpenUrlA, InternetReadFile, DeleteUrlCacheEntry<br><br>( 0 exports ) <br>
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=635E05A000776FA48C4D006652429E(...)
Pour le second :
Fichier lovefly.dll reçu le 2008.06.08 18:14:43 (CET)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.30.1 2008.06.05 -
AntiVir 7.8.0.55 2008.06.06 TR/PSW.Wow.arz.4
Authentium 5.1.0.4 2008.06.08 -
Avast 4.8.1195.0 2008.06.08 -
AVG 7.5.0.516 2008.06.07 PSW.Generic6.HBM
BitDefender 7.2 2008.06.08 Trojan.Generic.262902
CAT-QuickHeal 9.50 2008.06.07 TrojanPSW.WOW.arz
ClamAV 0.92.1 2008.06.08 Trojan.WoW-469
DrWeb 4.44.0.09170 2008.06.08 Trojan.PWS.Wow.origin
eSafe 7.0.15.0 2008.06.05 -
eTrust-Vet 31.6.5858 2008.06.08 -
Ewido 4.0 2008.06.08 -
F-Prot 4.4.4.56 2008.06.08 -
F-Secure 6.70.13260.0 2008.06.08 Trojan-PSW.Win32.WOW.arz
Fortinet 3.14.0.0 2008.06.08 W32/WOW.ARZ!tr.pws
GData 2.0.7306.1023 2008.06.08 Trojan-PSW.Win32.WOW.arz
Ikarus T3.1.1.26.0 2008.06.08 Trojan-PWS.Win32.WOW.aic
Kaspersky 7.0.0.125 2008.06.08 Trojan-PSW.Win32.WOW.arz
McAfee 5312 2008.06.06 -
Microsoft 1.3604 2008.06.08 -
NOD32v2 3165 2008.06.06 a variant of Win32/PSW.WOW.NDJ
Norman 5.80.02 2008.06.06 W32/Wow.DKE
Panda 9.0.0.4 2008.06.08 -
Prevx1 V2 2008.06.08 Cloaked Malware
Rising 20.47.42.00 2008.06.06 -
Sophos 4.30.0 2008.06.08 Mal/Generic-A
Sunbelt 3.0.1145.1 2008.06.05 Trojan-PSW.Win32.WOW.arz
Symantec 10 2008.06.08 -
TheHacker 6.2.92.339 2008.06.07 Trojan/PSW.WOW.arz
VBA32 3.12.6.7 2008.06.08 Trojan-PSW.Win32.WOW.arz
VirusBuster 4.3.26:9 2008.06.08 -
Webwasher-Gateway 6.6.2 2008.06.08 Trojan.PSW.Wow.arz.4
Information additionnelle
File size: 37376 bytes
MD5...: 53ed39ad79896278887c26fd96b5d09e
SHA1..: 3a27f206653ffaca89bd2f21403fa599e9e76c67
SHA256: c10a712b3b6516cd88cc96276e6d4c80fd3b82fce593bec67c8b2379408a77cc
SHA512: 43f1e356175e0953723c206c0b567e1a6e6979c94e2b1045580567b66a1b1cb0<br>56f422445b99acb83b5612f0ccb2da759d7863b873adca571db00a080f6d9c8f
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x4042fe<br>timedatestamp.....: 0x3039 (Thu Jan 01 03:25:45 1970)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x73ed 0x7400 6.47 89cf21dec23f94634ed419bb902f9159<br>.data 0x9000 0x9bc 0x600 3.91 f6a66d7eab236d0eff96dc4be9d0fdf7<br>.link 0xa000 0xa10 0xc00 4.18 68a015d897ebda6538d48acc4cd647f5<br>.rsrc 0xb000 0x3f8 0x400 3.39 9f00c2d47796dba803730d9fdf68d03b<br>.rloc 0xc000 0x344 0x400 5.77 3d4633d29c92a0487bb9356e033e1ebe<br><br>( 9 imports ) <br>> ADVAPI32.DLL: AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken<br>> GDI32.DLL: MoveToEx<br>> KERNEL32.DLL: CloseHandle, CreateFileA, CreateThread, DeleteFileA, ExitProcess, FindClose, FindFirstFileA, FindNextFileA, FreeEnvironmentStringsA, GetCommandLineA, GetCurrentThreadId, GetEnvironmentStringsA, GetEnvironmentVariableA, GetExitCodeThread, GetFileSize, GetFileType, GetLastError, GetModuleHandleA, GetStartupInfoA, GetStringTypeA, GetVersionExA, GetVolumeInformationA, GlobalAlloc, GlobalFree, GlobalReAlloc, MoveFileA, MultiByteToWideChar, OpenProcess, ReadFile, ResumeThread, SetEndOfFile, SetEnvironmentVariableA, SetErrorMode, SetFilePointer, SetLastError, Sleep, SuspendThread, TlsAlloc, TlsFree, TlsGetValue, TlsSetValue, WideCharToMultiByte, WriteFile, CreateMutexA, GetCurrentProcess, ReadProcessMemory, lstrcmpiA, RtlMoveMemory, CreateToolhelp32Snapshot, Process32First, Process32Next<br>> OLE32.DLL: CLSIDFromProgID, CoCreateInstance, CoInitialize, CoUninitialize, ProgIDFromCLSID<br>> OLEAUT32.DLL: GetActiveObject, SafeArrayCreate, SysAllocStringByteLen, SysFreeString, SysStringByteLen, VariantClear, VariantCopy<br>> USER32.DLL: CharLowerBuffA, CharNextA, CharUpperBuffA, CreateDialogIndirectParamA, CreateDialogParamA, CreateWindowExA, DialogBoxIndirectParamA, DialogBoxParamA, GetWindow<br>> URLMON.DLL: URLDownloadToFileA<br>> PSAPI.DLL: EmptyWorkingSet, EnumProcessModules, GetModuleFileNameExA<br>> WININET.DLL: InternetOpenA, InternetCloseHandle, InternetConnectA, InternetOpenUrlA, InternetReadFile<br><br>( 0 exports ) <br>
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=1A79B418004A754D92D100DA9344BB(...)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.30.1 2008.06.05 -
AntiVir 7.8.0.55 2008.06.06 TR/PSW.Wow.arz.4
Authentium 5.1.0.4 2008.06.08 -
Avast 4.8.1195.0 2008.06.08 -
AVG 7.5.0.516 2008.06.07 PSW.Generic6.HBM
BitDefender 7.2 2008.06.08 Trojan.Generic.262902
CAT-QuickHeal 9.50 2008.06.07 TrojanPSW.WOW.arz
ClamAV 0.92.1 2008.06.08 Trojan.WoW-469
DrWeb 4.44.0.09170 2008.06.08 Trojan.PWS.Wow.origin
eSafe 7.0.15.0 2008.06.05 -
eTrust-Vet 31.6.5858 2008.06.08 -
Ewido 4.0 2008.06.08 -
F-Prot 4.4.4.56 2008.06.08 -
F-Secure 6.70.13260.0 2008.06.08 Trojan-PSW.Win32.WOW.arz
Fortinet 3.14.0.0 2008.06.08 W32/WOW.ARZ!tr.pws
GData 2.0.7306.1023 2008.06.08 Trojan-PSW.Win32.WOW.arz
Ikarus T3.1.1.26.0 2008.06.08 Trojan-PWS.Win32.WOW.aic
Kaspersky 7.0.0.125 2008.06.08 Trojan-PSW.Win32.WOW.arz
McAfee 5312 2008.06.06 -
Microsoft 1.3604 2008.06.08 -
NOD32v2 3165 2008.06.06 a variant of Win32/PSW.WOW.NDJ
Norman 5.80.02 2008.06.06 W32/Wow.DKE
Panda 9.0.0.4 2008.06.08 -
Prevx1 V2 2008.06.08 Cloaked Malware
Rising 20.47.42.00 2008.06.06 -
Sophos 4.30.0 2008.06.08 Mal/Generic-A
Sunbelt 3.0.1145.1 2008.06.05 Trojan-PSW.Win32.WOW.arz
Symantec 10 2008.06.08 -
TheHacker 6.2.92.339 2008.06.07 Trojan/PSW.WOW.arz
VBA32 3.12.6.7 2008.06.08 Trojan-PSW.Win32.WOW.arz
VirusBuster 4.3.26:9 2008.06.08 -
Webwasher-Gateway 6.6.2 2008.06.08 Trojan.PSW.Wow.arz.4
Information additionnelle
File size: 37376 bytes
MD5...: 53ed39ad79896278887c26fd96b5d09e
SHA1..: 3a27f206653ffaca89bd2f21403fa599e9e76c67
SHA256: c10a712b3b6516cd88cc96276e6d4c80fd3b82fce593bec67c8b2379408a77cc
SHA512: 43f1e356175e0953723c206c0b567e1a6e6979c94e2b1045580567b66a1b1cb0<br>56f422445b99acb83b5612f0ccb2da759d7863b873adca571db00a080f6d9c8f
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x4042fe<br>timedatestamp.....: 0x3039 (Thu Jan 01 03:25:45 1970)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x73ed 0x7400 6.47 89cf21dec23f94634ed419bb902f9159<br>.data 0x9000 0x9bc 0x600 3.91 f6a66d7eab236d0eff96dc4be9d0fdf7<br>.link 0xa000 0xa10 0xc00 4.18 68a015d897ebda6538d48acc4cd647f5<br>.rsrc 0xb000 0x3f8 0x400 3.39 9f00c2d47796dba803730d9fdf68d03b<br>.rloc 0xc000 0x344 0x400 5.77 3d4633d29c92a0487bb9356e033e1ebe<br><br>( 9 imports ) <br>> ADVAPI32.DLL: AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken<br>> GDI32.DLL: MoveToEx<br>> KERNEL32.DLL: CloseHandle, CreateFileA, CreateThread, DeleteFileA, ExitProcess, FindClose, FindFirstFileA, FindNextFileA, FreeEnvironmentStringsA, GetCommandLineA, GetCurrentThreadId, GetEnvironmentStringsA, GetEnvironmentVariableA, GetExitCodeThread, GetFileSize, GetFileType, GetLastError, GetModuleHandleA, GetStartupInfoA, GetStringTypeA, GetVersionExA, GetVolumeInformationA, GlobalAlloc, GlobalFree, GlobalReAlloc, MoveFileA, MultiByteToWideChar, OpenProcess, ReadFile, ResumeThread, SetEndOfFile, SetEnvironmentVariableA, SetErrorMode, SetFilePointer, SetLastError, Sleep, SuspendThread, TlsAlloc, TlsFree, TlsGetValue, TlsSetValue, WideCharToMultiByte, WriteFile, CreateMutexA, GetCurrentProcess, ReadProcessMemory, lstrcmpiA, RtlMoveMemory, CreateToolhelp32Snapshot, Process32First, Process32Next<br>> OLE32.DLL: CLSIDFromProgID, CoCreateInstance, CoInitialize, CoUninitialize, ProgIDFromCLSID<br>> OLEAUT32.DLL: GetActiveObject, SafeArrayCreate, SysAllocStringByteLen, SysFreeString, SysStringByteLen, VariantClear, VariantCopy<br>> USER32.DLL: CharLowerBuffA, CharNextA, CharUpperBuffA, CreateDialogIndirectParamA, CreateDialogParamA, CreateWindowExA, DialogBoxIndirectParamA, DialogBoxParamA, GetWindow<br>> URLMON.DLL: URLDownloadToFileA<br>> PSAPI.DLL: EmptyWorkingSet, EnumProcessModules, GetModuleFileNameExA<br>> WININET.DLL: InternetOpenA, InternetCloseHandle, InternetConnectA, InternetOpenUrlA, InternetReadFile<br><br>( 0 exports ) <br>
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=1A79B418004A754D92D100DA9344BB(...)
|
|
|
|
|
Clique ici pour télécharger HJTsetup.exe.
Enregistre-le sur ton bureau.
Double-clique sur l'icône HJTsetup.exe.
Par défaut, il sera installé dans C:\Program Files\HijackThis.
Continue de cliquer sur Next dans les boites de dialogue de l'installation jusqu'à ce que tu arrive à Select Addition Tasks.
Coche l'option Create a desktop icon puis clique sur Next.
Continue de suivre le reste des invites à partir de là.
Lors de la dernière boite de dialogue, clique sur Finish and it will launch HijackThis.
HijackThis va s'ouvrir. Clique sur le bouton Do a system scan. Il va scanner brièvement l'ordinateur :
Coche les cases situées à côté de toutes les mentions figurants ci dessous :
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O20 - Winlogon Notify: Fly - C:\WINDOWS\SYSTEM32\smart.dll
O20 - Winlogon Notify: Love - C:\WINDOWS\SYSTEM32\LoveFly.dll
Maintenant ferme toutes les fenêtres autres que HijackThis puis clique sur Fix Checked. Ferme HijackThis et redémarre en mode sans échec.
( Redémarre l'ordinateur et dès qu'il commence à charger appuis continuellement sur la touche F8. Un menu devrait apparaitre où tu auras la possibilité de choisir le mode sans échec. )
Utilise Windows Explorer (pour t'y rendre clique droit sur le bouton Démarrer, puis choisis "Explorer") et supprime les fichiers suivants (si présents) :
C:\WINDOWS\SYSTEM32\smart.dll
C:\WINDOWS\SYSTEM32\LoveFly.dll
Après cela, redémarre l'ordinateur et poste un nouveau rapport HijackThis.
@+
|
|
|
|
|
Ok jpense avoir tout bien fait, voilà le rapport Hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:00:43, on 08/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jucheck.exe
C:\WINDOWS\system32\hphmon06.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\keyhook.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\vVX3000.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\distnoted.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c(...)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&(...)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&(...)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&(...)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c(...)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&(...)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&(...)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&(...)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c(...)
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c(...)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: Afficher Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
--
End of file - 10488 bytes
|
|
|
|
|
1/ Internet Explorer pas à jour, il contient des failles de sécurités qui peuvent via des exploits sur des sites WEB conduire à l'infection.
Mets à jour Internet Explorer 6 vers la version 7 : http://www.microsoft.com/france/windows/downloads/ie/getitnow.mspx
En outre, tu peux faire un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités.
Néanmoins, il est conseillé d'utiliser un navigateur alternatif plus sécurisé tel que Mozilla Firefox ou Opera.
2/ Ta console JAVA n'est pas à jour. Désinstalle ta console Java via Ajout/Suppression de programmes. Puis installe la dernière version :
http://www.java.com/fr/download/manual.jsp
3/ Ta protection logicielle :
Symantec Norton Internet Security
Lavasoft AB Ad-Aware 2007
PC Tools Spyware Doctor
Grisoft AVG AntiSpyware
C'est beaucoup trop !
Tu as plusieurs logiciels de protections (antivirus ou antispywares).
Pour rappel : un seul antivirus et un seul antispyware par ordinateur
Cela ne te protège pas forcement mieux mais ce qui est certains c'est que ça te ralenti l'ordinateur voir peu occasionner des plantages, plus d'infos : http://forum.malekal.com/viewtopic.php?f=45&t=4650
On va faire du ménage dans les programmes de protections installés, si tu le veux bien.
Ce qu'il faut savoir aussi c'est que les anti classiques sont loin d'être le plus important dans la sécurité d'un PC
Voir ceci :
La sécurité est un tout et ne se résume pas aux choix des programmes de protection que vous installez sur votre ordinateur. La sécurité c'est avant tout être vigilant et éviter certaines mauvaises habitudes qui conduisent à l'infection à coup sûr, et bien sûr , maintenir ses logiciels à jour.
La sécurité de votre ordinateur sur internet se résume en :
# Réduire les chances d'infections
# Avoir une bonne habitude de surf (bannir certaines catégories de site WEB).
# Bannir certaines sources & téléchargements : P2P, cracks etc..
# Se méfier des fichiers que vous ouvrez, toujours se poser la question "peut-il infecter mon PC?"
# Eviter d'utiliser son ordinateur avec les droits administrateur
# Maintenir son système et ses logiciels constamment à jour pour éviter les failles.
# Etre un utilisateur averti : se tenir informer des derniers virus et dernières méthodes d'infection pour ne pas tomber dans les pièges.
# Ne jamais trop faire confiance aux logiciels de protection.
4/ Mon avis est que Norton est bien trop lent pour intégrer les nouvelles infections. Désinstalle le avec ceci.
Idem pour Spyware Doctor ...
Idem pour Ad-aware. Celui ci est très peu performant, sans protection en temps réelle et pourtant il utilise plus de 20 Mo de ram !
AVG antispyware n'est pas mauvais mais sa protection en temps réelle et payante. Donc il te fait perdre des ressources pour rien, soit tu le désinstalle, soit tu ne le garde qu'en scanner.
-> Désinstalle ces 3 derniers via Ajout / Suppression de programme dans Panneau de Configuration.
5/ Une fois que tout ceci est fait,
Télécharge AntiVir sur ton Bureau.
Double clique sur l'exécutable téléchargé pour lancer l'installation.
** Une fois installé, ouvre Antivir et mets le à jour en vérifiant la date d'update.
-> S'il ne se met pas à jour, aide ICI.
** Redémarre en MSE <=> Aide : Comment redémarrer en Mode sans Echec
-> Ne jamais redémarrer via msconfig.
Lance AntiVir : Dans l'onglet Local Protection, choisis Scanner.
Active la recherche de rootkits via le + de rootkit search. Dans manual selection, coche tout (tes partitions de disque dur).
Clique sur la loupe du milieu pour lancer le scan en tant qu'Administrateur.
Quand l'analyse sera terminée, clique sur l'onglet Overview, puis choisis Reports, tu trouveras le rapport généré.
Enregistre le sur bureau et poste-le sur le forum.
Aide : Comment installer et utiliser AntiVir.
@+
|
|
|
|
|
D'accord, merci beaucoup pour tout ces conseils, que je suis à la lettre 
Mais le fait de désinstaller Norton, étant mon seul pare-feu (c'est bien normal), va me laisser sans barrière face aux éventuelles invasions du net... Alors que prendre comme pare-feu, gratuit de préférence, pour le remplacer ? Zone Alarme par exemple ? En tout cas merci encore, tant pour l'étude de mon cas que pour les réponses claires et adaptées
|
|
|
|
|
COMODO ou Online Armor sont pas mauvais
-->Message édité par HaTe-LoVe-AnGer le 08/06/2008 22:37:29<--
|
|
|
|
|
Alors voilà le rapport, après plusieurs heures de chargement ^^ :
Avira AntiVir Personal
Report file date: dimanche 8 juin 2008 22:57
Scanning for 1316364 virus strains and unwanted programs.
Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Boot mode: Save mode
Username: Administrateur
Computer name: PAVILLON-RAMBO
Version information:
BUILD.DAT : 8.1.00.295 16479 Bytes 09/04/2008 16:24:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18/03/2008 09:02:56
AVSCAN.DLL : 8.1.1.0 53505 Bytes 07/02/2008 08:43:37
LUKE.DLL : 8.1.2.9 151809 Bytes 28/02/2008 08:41:23
LUKERES.DLL : 8.1.2.1 12033 Bytes 21/02/2008 08:28:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 13:08:58
ANTIVIR2.VDF : 7.0.4.120 2206720 Bytes 01/06/2008 20:46:26
ANTIVIR3.VDF : 7.0.4.158 182784 Bytes 08/06/2008 20:46:27
Engineversion : 8.1.0.55
AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 09:58:21
AESCRIPT.DLL : 8.1.0.40 266618 Bytes 08/06/2008 20:46:38
AESCN.DLL : 8.1.0.21 119156 Bytes 08/06/2008 20:46:37
AERDL.DLL : 8.1.0.20 418165 Bytes 08/06/2008 20:46:36
AEPACK.DLL : 8.1.1.5 364918 Bytes 08/06/2008 20:46:35
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 08/06/2008 20:46:34
AEHEUR.DLL : 8.1.0.30 1253750 Bytes 08/06/2008 20:46:33
AEHELP.DLL : 8.1.0.15 115063 Bytes 08/06/2008 20:46:30
AEGEN.DLL : 8.1.0.28 307572 Bytes 08/06/2008 20:46:30
AEEMU.DLL : 8.1.0.6 430451 Bytes 08/06/2008 20:46:29
AECORE.DLL : 8.1.0.31 168310 Bytes 08/06/2008 20:46:28
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23/01/2008 17:07:53
AVPREF.DLL : 8.0.0.1 25857 Bytes 18/02/2008 10:37:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:26:47
AVREG.DLL : 8.0.0.0 30977 Bytes 23/01/2008 17:07:49
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28/02/2008 08:31:31
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23/01/2008 17:08:39
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10/03/2008 14:37:25
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06/03/2008 12:02:11
Configuration settings for the scan:
Jobname..........................: Local Drives
Configuration file...............: c:\program files\avira\antivir personaledition classic\alldrives.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, D:, G:, H:, I:, J:, E:, F:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium
Start of the scan: dimanche 8 juin 2008 22:57
The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
11 processes with 11 modules were scanned
Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Master boot sector HD1
[INFO] No virus was found!
[WARNING] Le périphérique n'est pas prêt.
Master boot sector HD2
[INFO] No virus was found!
[WARNING] Le périphérique n'est pas prêt.
Master boot sector HD3
[INFO] No virus was found!
[WARNING] Le périphérique n'est pas prêt.
Master boot sector HD4
[INFO] No virus was found!
[WARNING] Le périphérique n'est pas prêt.
Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!
Boot sector 'G:\'
[INFO] In the drive 'G:\' no data medium is inserted!
Boot sector 'H:\'
[INFO] In the drive 'H:\' no data medium is inserted!
Boot sector 'I:\'
[INFO] In the drive 'I:\' no data medium is inserted!
Boot sector 'J:\'
[INFO] In the drive 'J:\' no data medium is inserted!
Starting to scan the registry.
The registry was scanned ( '43' files ).
Starting the file scan:
Begin scan in 'C:\' <HP_PAVILION>
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\WINDOWS\system32\HookAPINT.dll
[DETECTION] Contains suspicious code HEUR/Malware
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '48bb5b6d.qua'!
Begin scan in 'D:\' <HP_RECOVERY>
Begin scan in 'G:\'
Search path G:\ could not be opened!
Le périphérique n'est pas prêt.
Begin scan in 'H:\'
Search path H:\ could not be opened!
Le périphérique n'est pas prêt.
Begin scan in 'I:\'
Search path I:\ could not be opened!
Le périphérique n'est pas prêt.
Begin scan in 'J:\'
Search path J:\ could not be opened!
Le périphérique n'est pas prêt.
Begin scan in 'E:\'
Search path E:\ could not be opened!
Le périphérique n'est pas prêt.
Begin scan in 'F:\'
Search path F:\ could not be opened!
Le périphérique n'est pas prêt.
End of the scan: lundi 9 juin 2008 00:43
Used time: 1:45:17 min
The scan has been done completely.
8172 Scanning directories
397086 Files were scanned
0 viruses and/or unwanted programs were found
1 Files were classified as suspicious:
0 files were deleted
0 files were repaired
1 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
397086 Files not concerned
15030 Archives were scanned
5 Warnings
1 Notes
Je pense que les trojans que j'avais transmettaient les mots de passe que je tapais à un hacker, car je me suis fait hacker un compte sur un jeu (WoW). J'espère que je pourrai de nouveau taper mes mots de passe sans craindre que l'on épie mes moindres tapotements de clavier
|
|
|
|
|
Bonjour,
Comme précédemment, supprime le fichier suivant en mode sans échec (si présent) :
C:\WINDOWS\system32\HookAPINT.dll
Si impossible le signaler.
Finalisation
1/ Télécharge Tools Cleaner (AceRothstein)
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
2/ Télécharge Ccleaner Slim
* Installe le. Ensuite, clique sur Options, Avancé et décoche la case « Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures ».
* Clique sur l'onglet Nettoyeur puis sur Lancer le Nettoyage.
* Ensuite clique sur l'onglet Registre, clique sur Chercher des erreurs puis sur « Réparer les erreurs sélectionnées ».
3/ Purge ta restauration de système.
Aide : Tutoriel.
4/ Edite le titre de ton sujet  et inscris y : [résolu]
5/ 
Rapporte ton infection pour faire condamner les auteurs de malware sur Malware-Complaints.
Pour faire entendre nos voix, nous devons être le plus nombreux possibles, alors rapporte ton infection ça serait sympa de ta part (cela prend 5min !)
* Voir les règles de Malware-Complaints (important).
* Enregistre sur le forum à partir du bouton register en haut :
Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age.
Si tu as moins, clic sur : I Agree to these terms and am under 13 years of age.
Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..).
Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, créé un message dans le sujet « Autres infections » conforme aux règles du forum (age, ville, département etc..).
Tu peux indiquer en complément, si tu le souhaite, le nom du helper qui t’a guidé ainsi que le forum sur lequel il est intervenu, ici 01.net.
Aide : Comment signaler son infection sur Malware Complaints.
6/ Article important à lire ICI .
C'est une synthèse sur les méthodes de prévention et de sécurisation des ordinateurs. Si ce sujet t'a plu, n'hésite pas à envoyer ce PDF à tes amis !
@+
|
|
|
|
|
Voilà le dernier rapport :
-->- Recherche:
C:\Documents and Settings\Administrateur\Recent\MSNFix.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Default User\Recent\MSNFix.lnk: trouvé !
C:\Documents and Settings\HP_Propriétaire\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\HP_Propriétaire\Recent\HijackThis.lnk: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\WINDOWS\system32\config\systemprofile\Recent\MSNFix.lnk: trouvé !
---------------------------------
-->- Suppression:
C:\Documents and Settings\Administrateur\Recent\MSNFix.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Default User\Recent\MSNFix.lnk: supprimé !
C:\Documents and Settings\HP_Propriétaire\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\HP_Propriétaire\Recent\HijackThis.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: s | | |
