Accès au Site
 FAQFAQ   RechercherCharte   RechercherRechercher   MembresMembres   UtilisateursUtilisateurs   S'enregistrerS'enregistrer   ProfilProfil   Vérifier ses messages privésVérifier ses messages privés   ConnexionConnexion
 
Message "Windows security alert"
Aller à la page 1, 2, 3  Suivante
 
Répondre au sujet Le site -> Assiste PC Index du Forum -> Désinfection des virus & analyses de logs HijackThisCréer un flux RSS 2.0
Auteur Message
jeandanielgasser
Newbie
Newbie


Inscrit le: 07 Déc 2007
Message(s): 31
Localisation: Bussigny, Suisse
MessagePosté le: 07 Déc 2007 19:25    Sujet du message: Message "Windows security alert" Répondre en citant
Bonjour,
je dois désinfecter un PC qui présente les symptômes suivants :
- Icône de notification Triangle attention jaune
- Popups de notification "Windows security alert" ...
- Toutes les 30 secondes un message m'avertissant que Internet Explorer a généré une erreur et doit fermer.

Le PC tourne sous Windows XP SP2.

Merci d'avance pour votre aide
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail
APC
Invité
MessagePosté le: 07 Déc 2007 21:19    Sujet du message: Répondre en citant
Bonsoir & bienvenue,

Il s'agit de la dernière variante de Smitfraud (Zlob).

Suis cette procédure et poste tous les rapports demandés :

  • Les deux rapports de SmitfraudFix,
  • Le rapport de AVG AS,
  • Un log HijackThis


Je te donnerai la suite après, en fonction des résultats. Wink

@+
Revenir en haut de page
jeandanielgasser
Newbie
Newbie


Inscrit le: 07 Déc 2007
Message(s): 31
Localisation: Bussigny, Suisse
MessagePosté le: 08 Déc 2007 13:59    Sujet du message: Répondre en citant
Salut,
merci beaucoup pour ta réponse rapide, c'est vraiment cool de t'occuper de mon problème.

Tu me dis de suivre une procédure, mais il n'y a pas de lien dans ton message.

Je suppose qu'il faut que je télécharge SmitfraudFix, AVG AS et HijackThis, que je redémarre en mode sans échec et je scanne mon PC avec ces trois programmes et que je poste les logs.

Si je n'ai pas de nouvelles de ta part c'est ce que je vais faire après-midi.

A+
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail
APC
Invité
MessagePosté le: 08 Déc 2007 14:07    Sujet du message: Répondre en citant
Bonjour,

Désolée, c'est un oubli Gêné

Le lien que j'aurais dû te donner est celui-ci :
http://www.assistepc.com/forum/desinfection-de-smitfraud-zlob-vt110.html

Mais tu as bien compris ce qu'il fallait faire. Voilà

Je doute que SmitfraudFix vienne à bout de tout, car une nouvelle variante a fait son apparition il y a quelques temps, et est un peu plus coriace que les autres. Mais ce qu'il nettoiera sera toujours bon à prendre.

Pour ce qu'il restera, on s'en occupera quand j'aurais vu tes rapports.

@+
Revenir en haut de page
jeandanielgasser
Newbie
Newbie


Inscrit le: 07 Déc 2007
Message(s): 31
Localisation: Bussigny, Suisse
MessagePosté le: 09 Déc 2007 15:42    Sujet du message: Répondre en citant
Salut,
alors voilà, j'ai suivi les instructions et voici les différents rapports :

SmitFraudFix, rapport 1 :
SmitFraudFix v2.258

Rapport fait à 13:25:53.79, 09.12.2007
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe
C:\WINDOWS\SYSTEM32\itheaSvc.EXE
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe
C:\Program Files\Softwin\BitDefender8\bdswitch.exe
C:\Program Files\Softwin\BitDefender8\bdnagent.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\DellSupport\DSAgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autorun.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\Administrateur\Application Data\33629.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
c:\program files\softwin\bitdefender8\bdmcon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

10.18.250.4   download.microsoft.com
10.18.250.4   downloads.microsoft.com
10.18.250.4   go.microsoft.com
10.18.250.4   microsoft.com
10.18.250.4   msdn.microsoft.com
10.18.250.4   office.microsoft.com
10.18.250.4   support.microsoft.com
10.18.250.4   windowsupdate.microsoft.com
10.18.250.4   www.microsoft.com
10.18.250.4   pandasoftware.com
10.18.250.4   www.pandasoftware.com

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\shell.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\printer.exe PRESENT !
C:\WINDOWS\system32\spoolvs.exe  PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\system32\\wowfx.dll"
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Broadcom NetXtreme 57xx Gigabit Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 62.2.17.60
DNS Server Search Order: 62.2.24.162
DNS Server Search Order: 62.2.17.61

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0E5A9001-FAF2-434A-9953-209730AD4518}: DhcpNameServer=62.2.17.60 62.2.24.162 62.2.17.61
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0E5A9001-FAF2-434A-9953-209730AD4518}: DhcpNameServer=62.2.17.60 62.2.24.162 62.2.17.61
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=62.2.17.60 62.2.24.162 62.2.17.61
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=62.2.17.60 62.2.24.162 62.2.17.61


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


SmitFraudFix, rapport 2 :
SmitFraudFix v2.259

Rapport fait à 14:32:40.59, 09.12.2007
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\shell.exe supprimé
C:\WINDOWS\system32\printer.exe supprimé
C:\WINDOWS\system32\spoolvs.exe supprimé

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0E5A9001-FAF2-434A-9953-209730AD4518}: DhcpNameServer=62.2.17.60 62.2.24.162 62.2.17.61
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0E5A9001-FAF2-434A-9953-209730AD4518}: DhcpNameServer=62.2.17.60 62.2.24.162 62.2.17.61
HKLM\SYSTEM\CS3\Services\Tcpip\..\{0E5A9001-FAF2-434A-9953-209730AD4518}: DhcpNameServer=62.2.17.60 62.2.24.162 62.2.17.61
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=62.2.17.60 62.2.24.162 62.2.17.61
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=62.2.17.60 62.2.24.162 62.2.17.61
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=62.2.17.60 62.2.24.162 62.2.17.61


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé.
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

AVG Anti-Spyware :

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:   14:28:02 09.12.2007

 + Résultat de l'analyse:   



C:\WINDOWS\system32\max1d11643v.exe -> Dialer.GBDialer.j : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Nettoyé.
C:\WINDOWS\system32\drivers\etc\hosts -> Trojan.Qhost.nl : Nettoyé.

Fin du rapport




Hijackthis, mode sans échec :

Logfile of HijackThis v1.99.1
Scan saved at 14:28:38, on 09.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\shell.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.ch/ig/dell?hl=fr&client=dell-row-rel&channel=ch&ibd=4071005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [PDVDDXSrv] "C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe"
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender8\\bdmcon.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender8\\bdnagent.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [DellSupport] "C:\Program Files\DellSupport\DSAgnt.exe" /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe
O4 - Startup: .protected
O4 - Startup: findfast.exe
O4 - Global Startup: .protected
O4 - Global Startup: autorun.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1192652345071
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = karakas
O17 - HKLM\Software\..\Telephony: DomainName = karakas
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = karakas
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = karakas
O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Documents\Settings\bot.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Broadcom ASF IP Monitor (ASFIPmon) - Unknown owner - C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe" -service (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: DSBrokerService - Unknown owner - C:\Program Files\DellSupport\brkrsvc.exe
O23 - Service: Service Ithea (itheaService) - ACTiKEY - C:\WINDOWS\SYSTEM32\itheaSvc.EXE
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)



Hijackthis, mode normal :

Logfile of HijackThis v1.99.1
Scan saved at 14:37:18, on 09.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe
C:\Program Files\Softwin\BitDefender8\bdmcon.exe
C:\Program Files\Softwin\BitDefender8\bdswitch.exe
C:\Program Files\Softwin\BitDefender8\bdnagent.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\AcroDist.exe
C:\Program Files\DellSupport\DSAgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autorun.exe
C:\Program Files\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\SYSTEM32\itheaSvc.EXE
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Documents and Settings\Administrateur\Application Data\U3\02105C6101B338D1\LaunchPad.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
C:\WINDOWS\system32\dwwin.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.ch/ig/dell?hl=fr&client=dell-row-rel&channel=ch&ibd=4071005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [PDVDDXSrv] "C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe"
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender8\\bdmcon.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender8\\bdnagent.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe
O4 - HKCU\..\Run: [DellSupport] "C:\Program Files\DellSupport\DSAgnt.exe" /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe
O4 - Startup: .protected
O4 - Startup: findfast.exe
O4 - Global Startup: .protected
O4 - Global Startup: autorun.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1192652345071
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = karakas
O17 - HKLM\Software\..\Telephony: DomainName = karakas
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = karakas
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = karakas
O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Documents\Settings\bot.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Broadcom ASF IP Monitor (ASFIPmon) - Unknown owner - C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe" -service (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: DSBrokerService - Unknown owner - C:\Program Files\DellSupport\brkrsvc.exe
O23 - Service: Service Ithea (itheaService) - ACTiKEY - C:\WINDOWS\SYSTEM32\itheaSvc.EXE
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


Voilàààààààà, j'espère que ça va t'aider ...

A+
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail
APC
Invité
MessagePosté le: 09 Déc 2007 16:35    Sujet du message: Répondre en citant
Bonjour,

C'est bien ce que je pensais, il y a du travail sur la planche.

Le rapport de HijackThis en mode sans échec n'est pas utile car on ne voit pas les processus actifs. Wink

  1. Télécharge combofix.exe, de sUBs, sur ton Bureau,

    Désactive ton antivirus et tes autres protections pour que Combofix puisse s'éxécuter normalement

    • Ferme toutes tes applications en cours, il peut y avoir un redémarrage du PC,
    • Double clique combofix.exe,
    • Tape sur la touche 1 (Yes) pour démarrer le scan,

      Exclamation Ne clique pas dans la fenêtre de Combofix pendant qu'il effectue son scan.

    • Lorsque le scan sera complété, un rapport apparaîtra.
    • Poste l'intégralité du rapport dans ta prochaine réponse

      NB : Le rapport se trouve également là : C:\Combofix.txt.


  2. Poste un nouveau log HijackThis ensuite.


@+
Revenir en haut de page
jeandanielgasser
Newbie
Newbie


Inscrit le: 07 Déc 2007
Message(s): 31
Localisation: Bussigny, Suisse
MessagePosté le: 09 Déc 2007 17:00    Sujet du message: Répondre en citant
Salut !
T'es même là le dimanche, vraiment c'est trop fort ! Merci ! Cheesy Grin

Voici le log de Combofix :
ComboFix 07-12-09.1 - Administrateur 2007-12-09 15:48:52.1 - NTFSx86
Microsoft Windows XP Professionnel  5.1.2600.2.1252.33.1036.18.2602 [GMT 1:00]
Running from: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
 * Created a new restore point
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\.protected
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\.protected
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\findfast.exe
C:\Documents and Settings\All Users.\documents\settings\bot.dll
C:\Documents and Settings\All Users.\documents\settings\desktop.ini
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\.protected
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autorun.exe
C:\Documents and Settings\Meyer\Application Data\install.dat
C:\Documents and Settings\Meyer\Application Data\microsoft\internet explorer\Desktop.htt
C:\Documents and Settings\Meyer\Application Data\printer.exe
C:\Documents and Settings\Meyer\Application Data\trant.exe
C:\Documents and Settings\Meyer\Application Data\Ultimate Defender
C:\Documents and Settings\Meyer\Application Data\Ultimate Defender\logs\1196955352.log
C:\Documents and Settings\Meyer\Application Data\ultra
C:\Documents and Settings\Meyer\Application Data\ultra\ultra.inf
C:\Documents and Settings\Meyer\Application Data\ultra\uninstall.bat
C:\Documents and Settings\Meyer\Bureau\bravesentry.lnk
C:\Documents and Settings\Meyer\Menu Démarrer\Programmes\Brave-Sentry
C:\Documents and Settings\Meyer\Menu Démarrer\Programmes\Brave-Sentry\BraveSentry.lnk
C:\Documents and Settings\Meyer\Menu Démarrer\Programmes\Brave-Sentry\Uninstall.lnk
C:\Documents and Settings\Meyer\Menu Démarrer\Programmes\Démarrage\.protected
C:\Documents and Settings\Meyer\Menu Démarrer\Programmes\Démarrage\findfast.exe
C:\Program Files\Temporary
C:\Program Files\WinAble
C:\WINDOWS\inf\ultra.inf
C:\WINDOWS\mrofinu27.exe
C:\WINDOWS\noskrnl.config
C:\WINDOWS\noskrnl.exe
C:\WINDOWS\shell.exe
C:\WINDOWS\system32\1559597241.dll
C:\WINDOWS\system32\away.exe.exe
C:\WINDOWS\system32\drivers\BPC48.sys
C:\WINDOWS\system32\drivers\ctl_w32.sys
C:\WINDOWS\system32\drivers\etc\.protected
C:\WINDOWS\system32\drivers\ip6fw.sys
C:\WINDOWS\system32\drivers\symavc32.sys
C:\WINDOWS\system32\kernelwind32.exe
C:\WINDOWS\system32\newmaxxsv234.exe
C:\WINDOWS\system32\printer.exe
C:\WINDOWS\system32\spoolvs.exe
C:\Documents and Settings\All Users.\documents\settings

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_BPC48
-------\LEGACY_CTL_W32
-------\LEGACY_MSUPDATE
-------\LEGACY_SYSLIBRARY


(((((((((((((((((((((((((((((   Fichiers cr‚‚s 2007-11-09 to 2007-12-09  ))))))))))))))))))))))))))))))))))))
.

2007-12-09 14:32 . 2007-12-09 14:34   <REP>   d--------   C:\SmitfraudFix
2007-12-09 13:25 . 2007-12-09 13:25   1,047,106   --a------   C:\SmitfraudFix.exe
2007-12-09 13:22 . 2007-12-09 13:22   <REP>   d--------   C:\Documents and Settings\Administrateur\Application Data\Grisoft
2007-12-09 11:19 . 2007-12-09 11:19   <REP>   d--------   C:\Documents and Settings\All Users\Application Data\Grisoft
2007-12-09 11:19 . 2007-05-30 13:10   10,872   --a------   C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-12-09 11:13 . 2007-12-09 11:13   <REP>   d--------   C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2007-12-09 11:12 . 2007-12-09 11:12   <REP>   d--------   C:\Program Files\Yahoo!
2007-12-09 11:12 . 2007-12-09 11:12   <REP>   d--------   C:\Program Files\CCleaner
2007-12-09 11:12 . 2007-12-09 11:12   23,674   --a------   C:\Documents and Settings\Administrateur\Application Data\info.dat
2007-12-07 14:02 . 2007-12-09 15:47   <REP>   d--------   C:\Documents and Settings\Administrateur\Application Data\U3
2007-12-07 12:24 . 2007-12-07 12:24   <REP>   d--------   C:\Program Files\Lavasoft
2007-12-07 12:24 . 2007-12-07 12:24   <REP>   d--------   C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-12-07 12:24 . 2007-12-07 12:24   <REP>   d--------   C:\Documents and Settings\All Users\Application Data\Lavasoft
2007-12-07 12:19 . 2007-12-09 14:32   3,444   --a------   C:\WINDOWS\system32\tmp.reg
2007-12-06 16:59 . 2007-12-06 16:59   29   --a------   C:\WINDOWS\system32\oatqeqga.tmp
2007-12-06 16:58 . 2007-12-06 16:58   6,732   --a------   C:\WINDOWS\system32\hosts32.dat
2007-12-06 16:58 . 2007-12-06 16:58   14   --a------   C:\WINDOWS\system32\msguppi.dll
2007-12-06 16:55 . 2007-12-06 16:55   38,317   --a------   C:\WINDOWS\system32\dllgh8jkd1q2.exe
2007-12-06 16:55 . 2007-12-06 16:55   30,583   --a------   C:\WINDOWS\wsystmp_nuo.exe
2007-12-06 16:55 . 2007-12-06 16:55   15,621   --a------   C:\WINDOWS\system32\dllgh8jkd1q7.exe
2007-12-06 16:55 . 2007-12-06 16:55   15,033   --a------   C:\WINDOWS\system32\dllgh8jkd1q6.exe
2007-12-06 16:55 . 2007-12-06 16:55   13,573   --a------   C:\WINDOWS\system32\dllgh8jkd1q5.exe
2007-12-06 16:55 . 2007-12-06 16:55   10,761   --a------   C:\WINDOWS\system32\dllgh8jkd1q1.exe
2007-12-06 16:55 . 2007-12-07 07:44   0   --a------   C:\WINDOWS\system32\dllgh8jkd1q8.exe
2007-12-06 16:34 . 2007-12-06 16:34   <REP>   d--------   C:\Program Files\Helper
2007-12-06 16:34 . 2007-12-06 16:34   0   --a------   C:\WINDOWS\wsystmp_zxu.exe
2007-12-06 16:33 . 2007-12-07 14:36   18,944   --a------   C:\WINDOWS\system32\wowfx.dll.old
2007-12-06 16:33 . 2007-12-09 15:52   18,944   --a------   C:\WINDOWS\system32\wowfx.dll
2007-12-06 16:32 . 2007-12-06 16:32   16,384   --a------   C:\WINDOWS\windisk.dll
2007-12-06 16:32 . 2007-12-06 16:32   11,776   --a------   C:\WINDOWS\wsystmp_abt.exe
2007-12-06 16:14 . 2007-12-06 16:14   28,929   --a------   C:\WINDOWS\trayicons.exe
2007-12-06 16:12 . 2007-12-06 16:12   <REP>   d--------   C:\WINDOWS\Sun
2007-11-22 08:56 . 2007-11-22 08:56   8,704   ---h-----   C:\C.cdc
2007-11-16 11:43 . 2007-11-16 11:52   296,128   --a------   C:\3137-011.dwg
2007-11-15 09:16 . 2007-11-15 09:16   <REP>   d--------   C:\WINDOWS\system32\NtmsData
2007-11-12 13:48 . 2007-11-12 13:48   <REP>   d--------   C:\Program Files\Zattoo

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-15 06:59   ---------   d-----w   C:\Documents and Settings\Meyer\Application Data\AdobeUM
2007-11-07 09:09   ---------   d--h--w   C:\Program Files\InstallShield Installation Information
2007-11-07 09:09   ---------   d-----w   C:\Program Files\Fichiers communs\InstallShield
2007-11-06 09:34   ---------   d-----w   C:\Program Files\Fichiers communs\Autodesk Shared
2007-11-06 09:33   ---------   d-----w   C:\Program Files\AutoCAD 2008
2007-11-06 08:29   ---------   d-----w   C:\Program Files\Java
2007-11-06 08:29   ---------   d-----w   C:\Program Files\Autodesk Network License Manager
2007-11-06 08:29   ---------   d-----w   C:\Program Files\Autodesk
2007-11-02 08:02   ---------   d-----w   C:\Program Files\MSN Messenger
2007-10-31 10:10   ---------   d-----w   C:\Documents and Settings\Meyer\Application Data\DirectoriesAG
2007-10-30 10:04   ---------   d-----w   C:\Documents and Settings\Meyer\Application Data\Roxio
2007-10-29 14:57   ---------   d-----w   C:\Documents and Settings\Meyer\Application Data\MSNInstaller
2007-10-29 06:54   ---------   d-----w   C:\Program Files\VideoLAN
2007-10-29 06:54   ---------   d-----w   C:\Documents and Settings\Meyer\Application Data\vlc
2007-10-29 06:31   ---------   d-----w   C:\Documents and Settings\Meyer\Application Data\Autodesk
2007-10-29 06:31   ---------   d-----w   C:\Documents and Settings\All Users\Application Data\Autodesk
2007-10-26 13:48   ---------   d-----w   C:\Program Files\CadARM
2007-10-26 07:25   ---------   d--h--w   C:\Documents and Settings\Meyer\Application Data\GTek
2007-10-26 07:21   ---------   d-----w   C:\Program Files\Dell
2007-10-26 07:16   ---------   d-----w   C:\Program Files\RealVNC
2007-10-26 05:54   ---------   d-----w   C:\Documents and Settings\Meyer\Application Data\Geomensura
2007-10-26 05:51   ---------   d-----w   C:\Program Files\ithea
2007-10-26 05:50   682,330   ----a-w   C:\WINDOWS\unins000.exe
2007-10-26 05:50   ---------   d-----w   C:\Program Files\Fichiers communs\Crystal Decisions
2007-10-26 05:48   ---------   d-----w   C:\Program Files\Seagate Software
2007-10-26 05:48   ---------   d-----w   C:\Program Files\Mensura
2007-10-26 05:48   ---------   d-----w   C:\Documents and Settings\All Users\Application Data\Geomensura
2007-10-25 17:06   ---------   d-----w   C:\Program Files\Fichiers communs\Adobe
2007-10-25 17:05   ---------   d-----w   C:\Documents and Settings\All Users\Application Data\Adobe Systems
2007-10-25 16:33   ---------   d-----w   C:\Program Files\Fichiers communs\Adobe Systems Shared
2007-10-17 20:09   ---------   d-----w   C:\Program Files\Microsoft.NET
2007-10-17 19:51   ---------   d--h--w   C:\Documents and Settings\Administrateur\Application Data\GTek
2007-10-17 19:40   ---------   d-----w   C:\Program Files\Google
2007-10-17 19:35   ---------   d-----w   C:\Program Files\MSXML 4.0
2007-10-17 19:34   ---------   d-----w   C:\Program Files\MSXML 6.0
2007-10-17 19:33   ---------   d-----w   C:\Program Files\MSBuild
2007-10-17 19:30   ---------   d-----w   C:\Program Files\Windows Media Connect 2
2007-10-17 19:30   ---------   d-----w   C:\Program Files\Reference Assemblies
2007-10-17 19:05   ---------   d-----w   C:\Program Files\Roxio
.

(((((((((((((((((((((((((((((((((   Point de chargement Reg   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AutoCAD Digital Signatures Icon Overlay Handler]
@={36A21736-36C2-4C11-8ACB-D4136F2B57BD}
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Fichiers hors connexion]

[HKEY_CLASSES_ROOT\CLSID\{36A21736-36C2-4C11-8ACB-D4136F2B57BD}]
2007-02-12 07:12   44648   --a------   C:\WINDOWS\system32\AcSignIcon.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DellSupport"="C:\Program Files\DellSupport\DSAgnt.exe" [2007-03-15 12:09]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-05-01 08:07]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 17:41]
"ISUSScheduler"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-07-27 16:50]
"PDVDDXSrv"="C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe" [2006-10-20 17:23]
"BDMCon"="C:\Program Files\Softwin\BitDefender8\\bdmcon.exe" [2007-10-17 21:39]
"BDSwitchAgent"="C:\Program Files\Softwin\BitDefender8\\bdswitch.exe" [2007-10-17 21:39]
"BDNewsAgent"="C:\Program Files\Softwin\BitDefender8\\bdnagent.exe" [2007-10-17 21:39]
"Acrobat Assistant 7.0"="C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2006-01-12 20:52]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 12:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\WINDOWS\system32\wowfx.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders   msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, wowfx.dll

R2 ASFIPmon;Broadcom ASF IP Monitor;"C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe" -service
R2 BASFND;BASFND;\??\C:\Program Files\Broadcom\ASFIPMon\BASFND.sys
R2 itheaService;Service Ithea;C:\WINDOWS\SYSTEM32\itheaSvc.EXE
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
S1 ctl_w32;ctl_w32;C:\WINDOWS\system32\drivers\ctl_w32.sys
S2 FILESpy;FILESpy;\??\C:\Program Files\Softwin\BitDefender8\filespy.sys
S3 ITHEA;Actikey(R) Ithea USB Driver;C:\WINDOWS\system32\Drivers\ithea.sys
S3 pmxmouse;PMXMOUSE;C:\WINDOWS\system32\DRIVERS\pmxmouse.sys
S3 pmxusblf;PMXUSBLF;C:\WINDOWS\system32\DRIVERS\pmxusblf.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
\Shell\AutoRun\command - I:\LaunchU3.exe

.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
-> C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aqvhvrrp.dll
.
**************************************************************************

catchme 0.3.1331 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-09 15:52:10
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-09 15:53:10 - machine was rebooted
.
   --- E O F ---

... et le log HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 15:57:41, on 09.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\SYSTEM32\itheaSvc.EXE
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe
C:\Program Files\Softwin\BitDefender8\bdmcon.exe
C:\Program Files\Softwin\BitDefender8\bdswitch.exe
C:\Program Files\Softwin\BitDefender8\bdnagent.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\DellSupport\DSAgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\dwwin.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.ch/ig/dell?hl=fr&client=dell-row-rel&channel=ch&ibd=4071005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [PDVDDXSrv] "C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe"
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender8\\bdmcon.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender8\\bdnagent.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [DellSupport] "C:\Program Files\DellSupport\DSAgnt.exe" /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1192652345071
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = karakas
O17 - HKLM\Software\..\Telephony: DomainName = karakas
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = karakas
O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Broadcom ASF IP Monitor (ASFIPmon) - Unknown owner - C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe" -service (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: DSBrokerService - Unknown owner - C:\Program Files\DellSupport\brkrsvc.exe
O23 - Service: Service Ithea (itheaService) - ACTiKEY - C:\WINDOWS\SYSTEM32\itheaSvc.EXE
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail
APC
Invité
MessagePosté le: 09 Déc 2007 17:10    Sujet du message: Répondre en citant
Vi, même le dimanche et surtout le dimanche, c'est le seul jour où j'ai un peu de temps pour dévéroler les PC au calme. Mr. Green

Bon, allons-y pour la mauvaise nouvelle : En plus de l'infection Smitfraud version new, il y a un superbe rootkit de type kernel-mode qui a pris ses quartiers.

Je pense qu'on va se parler un petit bout de temps. Mr. Green

Le PC est-il connecté au net ? Si oui, lance un scan avec Kaspersky, conserve le rapport et poste-le sur ta prochaine réponse.

Fais ceci ensuite :

  • Télécharge Deckard's System Scanner (DSS) (de Deckard), sur ton Bureau à partir de ce lien :
    http://deckard.geekstogo.com/dss.exe

    • Ferme tous les programmes en cours, y compris ton navigateur (pas d'activité internet pendant la manipulation)

    • Désactive tes protections durant avant de lancer l'outil pour ne pas le gêner (Antivirus, antispyware etc...)

    • Double clique sur DSS.exe pour lancer l'installation, puis l'outil,

    • Tu devras cliquer [Ok] à chaque fois que cela sera demandé,

    • A l'issue de l'analyse, deux fichiers texte vont apparaître :

      main.txt <- ouvert dans une fenêtre normale
      extra.txt <- ouvert dans une fenêtre réduite

    • Ferme ces deux fenêtres.


  • Poste les deux rapports de DSS (main.txt et extra.txt) qui se trouvent sous C:\Deckard\System Scanner


Si tu arrives à faire le scan en ligne avec KAV, fais deux posts séparément car tout ne tiendra pas sur le même message, les rapports de DSS sont un peu longs à digérer pour le forum. Wink

@+
Revenir en haut de page
jeandanielgasser
Newbie
Newbie


Inscrit le: 07 Déc 2007
Message(s): 31
Localisation: Bussigny, Suisse
MessagePosté le: 09 Déc 2007 17:21    Sujet du message: Répondre en citant
Bon, bin c'est pas la joie pour les mauvaises nouvelles !

En fait je ne peux pas lancer le scan en ligne acr Internet Explorer est corrompu, à chaque fois que je le lance j'ai un mesage d'erreur du style "Internet Explorer a rencontré un problème et doit fermer ..." grrr.

Est-ce que tu as une idée de la manière de procéder ?
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail
APC
Invité
MessagePosté le: 09 Déc 2007 17:25    Sujet du message: Répondre en citant
La seule solution que je vois est de continuer la désinfection jusqu'à ce que IE retrouve sa joie de vivre.

Ou mettre le disque dur en esclave sur ta machine et lancer le scan à partir de ton PC.

Sinon laisse tomber, on s'en passera.

Lance DSS j'ai besoin d'un peu plus d'éléments avant d'attaquer. Smile
Revenir en haut de page
jeandanielgasser
Newbie
Newbie


Inscrit le: 07 Déc 2007
Message(s): 31
Localisation: Bussigny, Suisse
MessagePosté le: 09 Déc 2007 17:34    Sujet du message: Répondre en citant
Voili voilou les rapports de DSS :

Main.txt :

Deckard's System Scanner v20071014.68
Run by Administrateur on 2007-12-09 16:30:58
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 4 Restore Point(s) --
4: 2007-12-09 15:31:04 UTC - RP59 - Deckard's System Scanner Restore Point
3: 2007-12-09 14:48:35 UTC - RP58 - ComboFix created restore point
2: 2007-12-08 16:05:57 UTC - RP57 - Point de vérification système
1: 2007-12-07 12:28:24 UTC - RP56 - Point de vérification système


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as Administrateur.exe) --------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 16:31:46, on 09.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\SYSTEM32\itheaSvc.EXE
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe
C:\Program Files\Softwin\BitDefender8\bdswitch.exe
C:\Program Files\Softwin\BitDefender8\bdnagent.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Documents and Settings\Administrateur\Bureau\dss.exe
C:\DOCUME~1\ADMINI~1\Bureau\Administrateur.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [PDVDDXSrv] "C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe"
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender8\\bdmcon.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender8\\bdnagent.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [DellSupport] "C:\Program Files\DellSupport\DSAgnt.exe" /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1192652345071
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = karakas
O17 - HKLM\Software\..\Telephony: DomainName = karakas
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = karakas
O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Broadcom ASF IP Monitor (ASFIPmon) - Unknown owner - C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe" -service (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: DSBrokerService - Unknown owner - C:\Program Files\DellSupport\brkrsvc.exe
O23 - Service: Service Ithea (itheaService) - ACTiKEY - C:\WINDOWS\SYSTEM32\itheaSvc.EXE
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


-- HijackThis Fixed Entries (C:\DOCUME~1\ADMINI~1\Bureau\backups\) -------------

backup-20071207-140842-526 O4 - HKLM\..\Run: [Microsoft Antispyware] C:\DOCUME~1\Meyer\LOCALS~1\Temp\F.tmp
backup-20071207-140842-682 O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
backup-20071207-140842-735 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
backup-20071207-140842-746 O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
backup-20071207-140842-829 O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
backup-20071207-140842-921 O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
backup-20071207-142529-146 F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe
backup-20071207-142529-391 O11 - Options group: [INTERNATIONAL] International*
backup-20071207-142529-437 O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
backup-20071207-142529-439 O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Documents\Settings\bot.dll
backup-20071207-142529-445 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
backup-20071207-142529-655 O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe
backup-20071207-142529-688 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
backup-20071207-142529-777 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
backup-20071207-142529-865 O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
backup-20071207-142529-876 O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
backup-20071207-143136-364 O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
backup-20071207-143136-494 O4 - Startup: findfast.exe
backup-20071207-143136-541 O4 - Startup: .protected
backup-20071207-143136-654 O4 - Global Startup: autorun.exe
backup-20071207-143136-736 O4 - Global Startup: .protected
backup-20071207-143136-973 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
backup-20071207-143136-989 O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
backup-20071207-143153-901 O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Documents\Settings\bot.dll
backup-20071207-143243-330 O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe

-- File Associations -----------------------------------------------------------

All associations okay.


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R3 catchme - c:\docume~1\admini~1\locals~1\temp\catchme.sys (file missing)

S1 ctl_w32 - c:\windows\system32\drivers\ctl_w32.sys (file missing)
S2 FILESpy - c:\program files\softwin\bitdefender8\filespy.sys (file missing)
S2 REGSpy - c:\program files\softwin\bitdefender8\regspy.sys (file missing)
S3 DSproct - c:\program files\dellsupport\gtaction\triggers\dsproct.sys <Not Verified; Gteko Ltd.; processt>
S3 pmxmouse - c:\windows\system32\drivers\pmxmouse.sys <Not Verified; Primax Electronics Ltd.; Primax Mouse>
S3 pmxusblf - c:\windows\system32\drivers\pmxusblf.sys <Not Verified; Primax Electronics Ltd.; Primax USB Mouse>


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

S3 DSBrokerService - "c:\program files\dellsupport\brkrsvc.exe" <Not Verified; ; Gteko BrkrSvc Application>
S3 stllssvr - "c:\program files\fichiers communs\surething shared\stllssvr.exe" <Not Verified; MicroVision Development, Inc.; SureThing CD Labeler>


-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.


-- Files created between 2007-11-09 and 2007-12-09 -----------------------------

2007-12-09 16:16:32         0 d-------- C:\Documents and Settings\Administrateur\Application Data\Macromedia
2007-12-09 14:32:30         0 d-------- C:\SmitfraudFix <SMITFR~1>
2007-12-09 13:25:28   1047106 --a------ C:\SmitfraudFix.exe <SMITFR~1.EXE>
2007-12-09 13:22:47         0 d-------- C:\Documents and Settings\Administrateur\Application Data\Grisoft
2007-12-09 11:19:19         0 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-12-09 11:15:04         0 dr-h----- C:\Documents and Settings\Administrateur\Recent
2007-12-09 11:13:56         0 d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2007-12-09 11:12:57     23674 --a------ C:\Documents and Settings\Administrateur\Application Data\info.dat
2007-12-09 11:12:47         0 d-------- C:\Program Files\Yahoo!
2007-12-09 11:12:43         0 d-------- C:\Program Files\CCleaner
2007-12-07 14:02:34         0 d-------- C:\Documents and Settings\Administrateur\Application Data\U3
2007-12-07 12:24:39         0 d-------- C:\Program Files\Lavasoft
2007-12-07 12:24:38         0 d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2007-12-07 12:24:06         0 d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-12-07 12:23:59         0 d-------- C:\Documents and Settings\Administrateur\Application Data\Adobe
2007-12-07 12:19:09      3444 --a------ C:\WINDOWS\system32\tmp.reg
2007-12-06 16:58:42        14 --a------ C:\WINDOWS\system32\msguppi.dll
2007-12-06 16:58:42      6732 --a------ C:\WINDOWS\system32\hosts32.dat
2007-12-06 16:55:27     15621 --a------ C:\WINDOWS\system32\dllgh8jkd1q7.exe
2007-12-06 16:55:27     15033 --a------ C:\WINDOWS\system32\dllgh8jkd1q6.exe
2007-12-06 16:55:25     13573 --a------ C:\WINDOWS\system32\dllgh8jkd1q5.exe
2007-12-06 16:55:25     38317 --a------ C:\WINDOWS\system32\dllgh8jkd1q2.exe
2007-12-06 16:55:24     10761 --a------ C:\WINDOWS\system32\dllgh8jkd1q1.exe
2007-12-06 16:55:23         0 --a------ C:\WINDOWS\system32\dllgh8jkd1q8.exe
2007-12-06 16:55:03     30583 --a------ C:\WINDOWS\wsystmp_nuo.exe
2007-12-06 16:34:42         0 d-------- C:\Program Files\Helper
2007-12-06 16:34:26         0 --a------ C:\WINDOWS\wsystmp_zxu.exe
2007-12-06 16:33:25     18944 --a------ C:\WINDOWS\system32\wowfx.dll
2007-12-06 16:32:14     11776 --a------ C:\WINDOWS\wsystmp_abt.exe
2007-12-06 16:32:14     16384 --a------ C:\WINDOWS\windisk.dll
2007-12-06 16:14:14     28929 --a------ C:\WINDOWS\trayicons.exe
2007-12-06 16:12:29         0 d-------- C:\WINDOWS\Sun
2007-11-15 09:16:04         0 d-------- C:\WINDOWS\system32\NtmsData
2007-11-15 08:17:28         0 d-------- C:\4648
2007-11-12 13:48:56         0 d-------- C:\Program Files\Zattoo


-- Find3M Report ---------------------------------------------------------------

2007-12-07 12:24:06         0 d-------- C:\Program Files\Fichiers communs
2007-11-07 10:09:14         0 d-------- C:\Program Files\Fichiers communs\InstallShield
2007-11-07 10:09:10         0 d--h----- C:\Program Files\InstallShield Installation Information
2007-11-06 10:34:48         0 d-------- C:\Program Files\Fichiers communs\Autodesk Shared
2007-11-06 10:33:23         0 d-------- C:\Program Files\AutoCAD 2008
2007-11-06 09:29:56         0 d-------- C:\Program Files\Java
2007-11-06 09:29:38         0 d-------- C:\Program Files\Autodesk
2007-11-06 09:29:29         0 d-------- C:\Program Files\Autodesk Network License Manager
2007-11-02 09:02:32         0 d-------- C:\Program Files\MSN Messenger
2007-10-29 07:54:13         0 d-------- C:\Program Files\VideoLAN
2007-10-29 07:33:12    506372 --a------ C:\WINDOWS\system32\perfh00C.dat
2007-10-29 07:33:12     84120 --a------ C:\WINDOWS\system32\perfc00C.dat
2007-10-26 14:48:21         0 d-------- C:\Program Files\CadARM
2007-10-26 08:21:06         0 d-------- C:\Program Files\Dell
2007-10-26 08:16:01         0 d-------- C:\Program Files\RealVNC
2007-10-26 06:51:01      1949 --a------ C:\WINDOWS\unins000.dat
2007-10-26 06:51:01         0 d-------- C:\Program Files\ithea
2007-10-26 06:50:55    682330 --a------ C:\WINDOWS\unins000.exe <Not Verified; ; Inno Setup>
2007-10-26 06:50:03         0 d-------- C:\Program Files\Fichiers communs\Crystal Decisions
2007-10-26 06:48:57         0 d-------- C:\Program Files\Seagate Software
2007-10-26 06:48:57         0 d-------- C:\Program Files\Mensura
2007-10-25 18:06:51         0 d-------- C:\Program Files\Fichiers communs\Adobe
2007-10-25 17:33:16         0 d-------- C:\Program Files\Fichiers communs\Adobe Systems Shared
2007-10-17 21:39:41     61440 --a------ C:\WINDOWS\system32\sockspy.dll
2007-10-17 21:09:04         0 d-------- C:\Program Files\Microsoft.NET
2007-10-17 20:51:43         0 d--h----- C:\Documents and Settings\Administrateur\Application Data\GTek
2007-10-17 20:40:28         0 d-------- C:\Program Files\Google
2007-10-17 20:35:28         0 d-------- C:\Program Files\MSXML 4.0
2007-10-17 20:34:56         0 d-------- C:\Program Files\MSXML 6.0
2007-10-17 20:33:30         0 d-------- C:\Program Files\MSBuild
2007-10-17 20:30:59         0 d-------- C:\Program Files\Reference Assemblies
2007-10-17 20:30:03         0 d-------- C:\Program Files\Windows Media Connect 2
2007-10-17 20:07:13         0 d-------- C:\Documents and Settings\Administrateur\Application Data\Google
2007-10-17 20:05:13         0 d-------- C:\Program Files\Roxio


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [25.09.2007 00:11]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [01.05.2006 08:07]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [02.01.2006 17:41]
"ISUSScheduler"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [27.07.2004 16:50]
"PDVDDXSrv"="C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe" [20.10.2006 17:23]
"BDMCon"="C:\Program Files\Softwin\BitDefender8\\bdmcon.exe" [17.10.2007 21:39]
"BDSwitchAgent"="C:\Program Files\Softwin\BitDefender8\\bdswitch.exe" [17.10.2007 21:39]
"BDNewsAgent"="C:\Program Files\Softwin\BitDefender8\\bdnagent.exe" [17.10.2007 21:39]
"Acrobat Assistant 7.0"="C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [12.01.2006 20:52]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [11.06.2007 10:25]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DellSupport"="C:\Program Files\DellSupport\DSAgnt.exe" [15.03.2007 12:09]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [05.08.2004 12:00]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Acrobat.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-100000000002}\SC_Acrobat.exe [25.10.2007 17:26:59]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\WINDOWS\system32\wowfx.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders   msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, wowfx.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
AutoRun\command- I:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{54d7fff0-a4b5-11dc-897b-001aa0b50b4d}]
AutoRun\command- I:\LaunchU3.exe




-- End of Deckard's System Scanner: finished at 2007-12-09 16:32:18 ------------



Extra.txt :