Se connecter / S'enregistrer
Votre question

[résolu]probleme virus envoi de mail internet explorer déconne

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
9 Septembre 2006 12:22:39

Bonjour,

je me suis chopé un sale virus que j'arrive pas a virer, quand je relance mon pc, j'ai des millier de mail qui s'envoi donc mon norton les bloque, ça fé l'écran plein d'alert, je dois alors finir la tache de ccapp, j'ai également un écran bleu qui se met avec erreur cdaudio.sys .
j'ai souvent la page http://fr.winantivirus.com/ qui souvre toute seule.
Que faire ?

rapport hijack :

Logfile of HijackThis v1.99.1
Scan saved at 12:21:47, on 09/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\SYMANT~1\vptray.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ultravnc\winvnc.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\ctfmon.exe
C:\manu1\foxmail\Foxmail.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Telechargement\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ac-rouen.fr/gestion/accueil.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Académie de ROUEN
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.127.164.1:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\\vptray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ProxyWay] C:\Program Files\ProxyWay\proxyway.exe
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.ac-rouen.fr/gestion/accueil.php
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\Ultravnc\winvnc.exe" -service (file missing)





pour winvnc j'ai essayé de le fixer ça revien tout le temps

Autres pages sur : resolu probleme virus envoi mail internet explorer deconne

a b 8 Sécurité
9 Septembre 2006 14:01:01

Bonjour,

-- Clique Droit sur Hijackthis :
-> Choisis " Renommer "
-> Tape Scanner.exe puis valide


- Lance l'application
- Choisis l'option Do a system scan and save a logfile
-- Le Bloc-Notes s'ouvre :
-> Edition / Sélectionner Tout
-> Edition / Copier

- Colle le rapport ici.

Aide sur Hijackthis
9 Septembre 2006 14:04:30

Logfile of HijackThis v1.99.1
Scan saved at 14:03:12, on 09/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\SYMANT~1\vptray.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ultravnc\winvnc.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\ctfmon.exe
C:\manu1\foxmail\Foxmail.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Telechargement\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ac-rouen.fr/gestion/accueil.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Académie de ROUEN
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.127.164.1:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {2E4DB604-4236-4182-B493-924D5543BA62} - C:\WINDOWS\System32\awtus.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\\vptray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ProxyWay] C:\Program Files\ProxyWay\proxyway.exe
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.ac-rouen.fr/gestion/accueil.php
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O20 - Winlogon Notify: awtus - C:\WINDOWS\System32\awtus.dll
O20 - Winlogon Notify: emul65 - C:\WINDOWS\SYSTEM32\emul65.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\Ultravnc\winvnc.exe" -service (file missing)

Contenus similaires
a b 8 Sécurité
9 Septembre 2006 14:07:59

Infection Vundo.

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

  • Double-clique VundoFix.exe afin de le lancer
  • Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo
  • Clique sur le bouton Scan for Vundo
  • Lorsque le scan est complété, clique sur le bouton Remove Vundo
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  • Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

9 Septembre 2006 14:43:25

oui il y a le fichier awtus.dll qu'il ne peut pas supprimer donc il a redemarrer, j'ai alors eut un message de windows qui m'a dis de remettre ma clé d'activation pour lancé une session, jlai donc mis et vundofix s'est lancé direct j'ai refait alors le scan et pareil le meme fichier impossible a supprimé, j'ai donc relancé le pc en mode sans echec, j'ai lancé vundofix et pareil le fichier impossible à supprimer donc a chaque fois il relance le pc et lance vundo mais fait toujours pareil
a b 8 Sécurité
9 Septembre 2006 15:03:13

On fait autrement ;) 

  • Double-clique VundoFix.exe afin de le lancer.
  • Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok
  • Clique sur le bouton Scan for Vundo.
  • Lorsque le scan est complété, clique sur le bouton Remove Vundo.
  • Si l'outil rapporte qu'aucune infection n'a été trouvée ("No infected files were found"), fais un clic droit dans la fenêtre blanche et clique "Add more files?"
  • Dans la nouvelle fenêtre qui apparait, Copie/colle le chemin du fichier suivant dans la première case (au haut):
    C:\WINDOWS\System32\awtus.dll
  • Copie/colle le chemin du fichier suivant dans la seconde case (au centre):
    C:\WINDOWS\System32\sutaw.*
  • Clique sur le bouton "Add File(s)"
  • Clique sur le bouton "Close Window"
  • Clique à nouveau sur "Remove Vundo"
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
  • Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
  • Démarre ton PC à nouveau.
  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse.
    9 Septembre 2006 15:10:20

    ok mais le probleme c'est qu'il trouve toujours le fichier C:\WINDOWS\System32\awtus.dll quand je scan et ne peut pas le supprimer quand je clic sur remove, j'ai aussi fait clic droit et ajouté les 2 fichier dans les cases et j'ai fait remove et pareil impossible a supprimer donc il redemarre et retrouve les meme fichier toujours impossible a supprimé :( 
    a b 8 Sécurité
    9 Septembre 2006 15:20:38

    Tu as fait ce que j'ai dit ? Le rapport ?

    Télécharge ce fichier - combofix.exe
    et sauvegarde le sur ton bureau et pas ailleurs!

    Clic sur le menu Démarrer puis executer et copie/colle ceci :
    "%userprofile%\Bureau\combofix.exe" /v awtus
    puis clic sur OK.

    Ne touche a rien et attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
    9 Septembre 2006 15:31:04

    oui j'ai fait ce que tu m'a dis, mais ça fait toujours pareil impossible de le supprimer et il redemarre le pc et relance le logiciel et ça refait pareil donc reboot etc etc... et donc j'ai pas de rapport, je vai essayé combofix et jte met le rapport
    9 Septembre 2006 15:37:22

    rapport de combofix :

    CLG VICTOR HUGO - 06-09-09 15:32:23,53
    ComboFix 06.09.07 - Running from: C:\Documents and Settings\CLG VICTOR HUGO\Bureau

    Microsoft Windows XP [version 5.1.2600]

    (((((((((((((((((((((((((((((((((((((((((((((((( Vundo Log )))))))))))))))))))))))))))))))))))))))))))))))))))))


    C:\WINDOWS\system32\awtus.dll
    C:\WINDOWS\system32\sutwa.ini


    * * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *



    (((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))



    ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

    Folders Quarantined:

    C:\QooBox\Purity\Documents and Settings\CLG VICTOR HUGO\Mes documents\SSEMBL~1


    ((((((((((((((((((((((((((((((( Files Created from 2006-08-09 to 2006-09-09 ))))))))))))))))))))))))))))))))))


    2006-09-09 14:17 4,476 --a------ C:\WINDOWSvundofix.reg
    2006-09-09 12:02 69,689 --a------ C:\WINDOWS\UNZIP.DLL
    2006-09-09 12:02 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
    2006-09-09 12:02 286,720 --a------ C:\WINDOWS\PATCH.EXE
    2006-09-08 18:26 4,096 --a------ C:\WINDOWS\system32\reboot.exe
    2006-09-08 18:26 16,384 --a------ C:\WINDOWS\system32\restart.exe
    2006-09-08 18:26 15,703 --a------ C:\delfiles.bat
    2006-09-08 15:38 75,480 --a------ C:\WINDOWS\system32\ipv6monl.dll
    2006-09-08 15:38 5,632 --a------ C:\WINDOWS\ohg.exe
    2006-09-08 15:38 192,512 --a------ C:\WINDOWS\test5.exe
    2006-09-08 15:38 157,184 --a------ C:\WINDOWS\system32\2241_32.dll
    2006-09-08 15:37 9,216 --a------ C:\WINDOWS\system32\crypt32net.dll
    2006-09-08 15:37 86,509 --a------ C:\WINDOWS\test2.exe
    2006-09-08 15:37 86,501 --a------ C:\WINDOWS\itt.exe
    2006-09-08 15:37 6,144 --a------ C:\WINDOWS\system32\scardrv.exe
    2006-09-08 15:37 2,560 -r-hs---- C:\WINDOWS\system32\z152560.exe
    2006-09-08 15:37 100,568 --a------ C:\WINDOWS\test10.exe
    2006-09-08 15:37 10,752 --a------ C:\WINDOWS\system32\kernel.dll
    2006-09-08 15:35 2,560 -r-hs---- C:\WINDOWS\ynp2560.exe
    2006-09-08 15:35 2,048 --a------ C:\WINDOWS\ynp.exe
    2006-08-29 17:09 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
    2006-08-29 17:08 98,816 --a------ C:\WINDOWS\system32\dmstyle.dll
    2006-08-29 17:08 974,848 --a------ C:\WINDOWS\system32\dxdiag.exe
    2006-08-29 17:08 80,896 --a------ C:\WINDOWS\system32\dpvsetup.exe
    2006-08-29 17:08 8,192 --a------ C:\WINDOWS\system32\d3d8thk.dll
    2006-08-29 17:08 797,184 --a------ C:\WINDOWS\system32\d3dim700.dll
    2006-08-29 17:08 79,360 --a------ C:\WINDOWS\system32\dpwsockx.dll
    2006-08-29 17:08 77,824 --a------ C:\WINDOWS\system32\dpmodemx.dll
    2006-08-29 17:08 76,800 --a------ C:\WINDOWS\system32\dmscript.dll
    2006-08-29 17:08 733,184 --a------ C:\WINDOWS\system32\qedwipes.dll
    2006-08-29 17:08 723,968 --a------ C:\WINDOWS\system32\dpnet.dll
    2006-08-29 17:08 68,096 --a------ C:\WINDOWS\system32\dpnhupnp.dll
    2006-08-29 17:08 64,512 --a------ C:\WINDOWS\system32\amstream.dll
    2006-08-29 17:08 63,696 --a------ C:\WINDOWS\system32\dxdllreg.exe
    2006-08-29 17:08 602,624 --a------ C:\WINDOWS\system32\dx7vb.dll
    2006-08-29 17:08 58,368 --a------ C:\WINDOWS\system32\dmcompos.dll
    2006-08-29 17:08 491,520 --a------ C:\WINDOWS\system32\dsdmoprp.dll
    2006-08-29 17:08 470,528 --a------ C:\WINDOWS\system32\qdvd.dll
    2006-08-29 17:08 47,104 --a------ C:\WINDOWS\system32\wstdecod.dll
    2006-08-29 17:08 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
    2006-08-29 17:08 381,952 --a------ C:\WINDOWS\system32\dsound.dll
    2006-08-29 17:08 381,952 --a------ C:\WINDOWS\system32\dpvoice.dll
    2006-08-29 17:08 354,816 --a------ C:\WINDOWS\system32\psisdecd.dll
    2006-08-29 17:08 34,304 --a------ C:\WINDOWS\system32\mciqtz32.dll
    2006-08-29 17:08 33,280 --a------ C:\WINDOWS\system32\dmloader.dll
    2006-08-29 17:08 324,096 --a------ C:\WINDOWS\system32\mswebdvd.dll
    2006-08-29 17:08 32,768 --a------ C:\WINDOWS\system32\dpnhpast.dll
    2006-08-29 17:08 316,928 --a------ C:\WINDOWS\system32\qdv.dll
    2006-08-29 17:08 3,072 --a------ C:\WINDOWS\system32\dpnlobby.dll
    2006-08-29 17:08 3,072 --a------ C:\WINDOWS\system32\dpnaddr.dll
    2006-08-29 17:08 292,864 --a------ C:\WINDOWS\system32\ddraw.dll
    2006-08-29 17:08 28,160 --a------ C:\WINDOWS\system32\dplaysvr.exe
    2006-08-29 17:08 27,136 --a------ C:\WINDOWS\system32\dmband.dll
    2006-08-29 17:08 257,024 --a------ C:\WINDOWS\system32\qcap.dll
    2006-08-29 17:08 24,064 --a------ C:\WINDOWS\system32\ddrawex.dll
    2006-08-29 17:08 230,400 --a------ C:\WINDOWS\system32\dplayx.dll
    2006-08-29 17:08 19,968 --a------ C:\WINDOWS\system32\dpvacm.dll
    2006-08-29 17:08 186,880 --a------ C:\WINDOWS\system32\dsdmo.dll
    2006-08-29 17:08 181,248 --a------ C:\WINDOWS\system32\dmime.dll
    2006-08-29 17:08 18,944 --a------ C:\WINDOWS\system32\encapi.dll
    2006-08-29 17:08 18,432 --a------ C:\WINDOWS\system32\dswave.dll
    2006-08-29 17:08 16,896 --a------ C:\WINDOWS\system32\msyuv.dll
    2006-08-29 17:08 16,896 --a------ C:\WINDOWS\system32\dpnsvr.exe
    2006-08-29 17:08 132,608 --a------ C:\WINDOWS\system32\devenum.dll
    2006-08-29 17:08 13,312 --a------ C:\WINDOWS\system32\msdmo.dll
    2006-08-29 17:08 122,880 --a------ C:\WINDOWS\system32\dmusic.dll
    2006-08-29 17:08 112,128 --a------ C:\WINDOWS\system32\dpvvox.dll
    2006-08-29 17:08 100,864 --a------ C:\WINDOWS\system32\dmsynth.dll
    2006-08-29 17:08 1,962,496 --a------ C:\WINDOWS\system32\quartz.dll
    2006-08-29 17:08 1,798,144 --a------ C:\WINDOWS\system32\qedit.dll
    2006-08-29 17:08 1,769,472 --a------ C:\WINDOWS\system32\dxdiagn.dll
    2006-08-29 17:08 1,703,936 --a------ C:\WINDOWS\system32\d3d9.dll
    2006-08-29 17:08 1,294,336 --a------ C:\WINDOWS\system32\dsound3d.dll
    2006-08-29 17:08 1,230,336 --a------ C:\WINDOWS\system32\msvidctl.dll
    2006-08-29 17:08 1,201,152 --a------ C:\WINDOWS\system32\d3d8.dll
    2006-08-29 17:08 1,189,888 --a------ C:\WINDOWS\system32\dx8vb.dll
    2006-08-24 22:02 50,688 --a------ C:\WINDOWS\system32\wbhelp2.dll


    (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


    2006-09-08 19:09 777472 --a------ C:\WINDOWS\system32\drivers\avg7core.sys
    2006-09-08 19:09 4992 --a------ C:\WINDOWS\system32\drivers\avgtdi.sys
    2006-09-08 19:09 4288 --a------ C:\WINDOWS\system32\drivers\avg7rsw.sys
    2006-09-08 19:09 27904 --a------ C:\WINDOWS\system32\drivers\avg7rsxp.sys
    2006-09-08 19:09 23424 --a------ C:\WINDOWS\system32\drivers\avgmfrs.sys
    2006-09-08 19:09 -------- d-------- C:\Documents and Settings\CLG VICTOR HUGO\Application Data\AVG7
    2006-09-08 18:46 -------- d-------- C:\Program Files\CCleaner
    2006-09-05 08:31 -------- d-------- C:\Program Files\Mozilla Thunderbird
    2006-08-31 22:42 -------- d-------- C:\Program Files\AOL
    2006-08-29 19:48 -------- d-------- C:\Program Files\Shareaza
    2006-08-29 17:05 -------- d-------- C:\Program Files\Ubisoft
    2006-08-27 12:30 -------- d-------- C:\Program Files\GeoWhere
    2006-08-24 22:02 -------- d-------- C:\Program Files\DAP
    2006-08-23 23:38 -------- d-------- C:\Program Files\BitTorrent
    2006-08-21 11:56 86944 --a------ C:\Documents and Settings\CLG VICTOR HUGO\Application Data\GDIPFONTCACHEV1.DAT
    2006-08-18 14:48 -------- d-------- C:\Program Files\Google
    2006-07-23 11:16 -------- d-------- C:\Program Files\FileZilla
    2006-07-23 11:14 -------- d-------- C:\Program Files\PhotoFiltre
    2006-06-11 11:17 2 --a------ C:\WINDOWS\system32\wintsvtr.exe


    (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

    *Note* empty entries are not shown

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SoundMan"="SOUNDMAN.EXE"
    "ccApp"="\"C:\\Program Files\\Fichiers communs\\Symantec Shared\\ccApp.exe\""
    "AOLDialer"="C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe"
    "vptray"="C:\\PROGRA~1\\SYMANT~1\\\\vptray.exe"
    "QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
    "DownloadAccelerator"="\"C:\\Program Files\\DAP\\DAP.EXE\" /STARTUP"
    "AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe /STARTUP"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
    "Installed"="1"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
    "Installed"="1"
    "NoChange"="1"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
    "Installed"="1"

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe"
    "ProxyWay"="C:\\Program Files\\ProxyWay\\proxyway.exe"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
    "dontdisplaylastusername"=dword:00000000
    "legalnoticecaption"=""
    "legalnoticetext"=""
    "shutdownwithoutlogon"=dword:00000001
    "undockwithoutlogon"=dword:00000001

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
    "NoDriveTypeAutoRun"=dword:00000091

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
    "DeskHtmlVersion"=dword:00000110
    "DeskHtmlMinorVersion"=dword:00000005
    "Settings"=dword:00000001
    "GeneralFlags"=dword:00000004

    [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
    "AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"

    [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
    "NoDriveTypeAutoRun"=dword:00000091

    [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

    [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
    "AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"

    [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
    "NoDriveTypeAutoRun"=dword:00000091

    [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
    "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
    "{54D9498B-CF93-414F-8984-8CE7FDE0D391}"="ewido shell guard"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Apoint]
    "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
    "item"="Apoint"
    "hkey"="HKLM"
    "command"="C:\\Program Files\\Apoint2K\\Apoint.exe"
    "inimapping"="0"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\igfxhkcmd]
    "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
    "item"="hkcmd"
    "hkey"="HKLM"
    "command"="C:\\WINDOWS\\System32\\hkcmd.exe"
    "inimapping"="0"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\igfxpers]
    "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
    "item"="igfxpers"
    "hkey"="HKLM"
    "command"="C:\\WINDOWS\\System32\\igfxpers.exe"
    "inimapping"="0"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\igfxtray]
    "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
    "item"="igfxtray"
    "hkey"="HKLM"
    "command"="C:\\WINDOWS\\System32\\igfxtray.exe"
    "inimapping"="0"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MSMSGS]
    "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
    "item"="MSMSGS"
    "hkey"="HKCU"
    "command"="\"C:\\Program Files\\Messenger\\MSMSGS.EXE\" /background"
    "inimapping"="0"

    HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\emul65

    HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\emul37.sys
    HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\emul65.sys


    ~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

    backup-20060909-140445-576
    O20 - Winlogon Notify: emul65 - C:\WINDOWS\SYSTEM32\emul65.dll
    backup-20060909-140445-853
    O20 - Winlogon Notify: awtus - C:\WINDOWS\System32\awtus.dll
    backup-20060909-140425-889
    O20 - Winlogon Notify: emul65 - C:\WINDOWS\SYSTEM32\emul65.dll
    backup-20060909-140424-472
    O20 - Winlogon Notify: awtus - C:\WINDOWS\System32\awtus.dll
    backup-20060909-122326-959
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    backup-20060909-122140-361
    O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\Ultravnc\winvnc.exe" -service (file missing)
    backup-20060908-223612-708
    O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\Ultravnc\winvnc.exe" -service (file missing)
    backup-20060908-223611-662
    O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\ynp2560.exe
    backup-20060908-223611-745
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.misterbot.fr
    backup-20060908-185035-779
    O9 - Extra button: Super Proxy Helper - {736D982F-8E2C-4afc-B202-D8195B48AB68} - C:\Program Files\Igoodsoft\Super Proxy Helper\ProxyHelper.exe (file missing)
    backup-20060908-185036-394
    O9 - Extra 'Tools' menuitem: Super Proxy Helper - {736D982F-8E2C-4afc-B202-D8195B48AB68} - C:\Program Files\Igoodsoft\Super Proxy Helper\ProxyHelper.exe (file missing)
    backup-20060908-185035-862
    O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\ynp2560.exe
    backup-20060908-162516-752
    O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\xxyxxyy.dll
    backup-20060908-162508-801
    O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\xxyxxyy.dll
    backup-20060908-162508-287
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    backup-20060908-162342-518
    O21 - SSODL: DCOM Server 2241 - {2C1CD3D7-86AC-4068-93BC-A02304BB2241} - C:\WINDOWS\System32\2241_32.dll
    backup-20060908-162342-182
    O20 - Winlogon Notify: xxyxxyy - C:\WINDOWS\SYSTEM32\xxyxxyy.dll
    backup-20060908-162342-658
    O20 - Winlogon Notify: winhmd32 - winhmd32.dll (file missing)
    backup-20060908-162341-371
    O20 - Winlogon Notify: emul65 - C:\WINDOWS\SYSTEM32\emul65.dll
    backup-20060908-162342-335
    O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\System32\svshost.dll
    backup-20060908-162341-674
    O20 - Winlogon Notify: crypt32net - C:\WINDOWS\SYSTEM32\crypt32net.dll
    backup-20060908-162340-663
    O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
    backup-20060908-162340-464
    O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\ynp2560.exe
    backup-20060908-162340-197
    O4 - HKCU\..\Run: [Winsvr] C:\DOCUME~1\CLGVIC~1\LOCALS~1\Temp\3FE5632.exe
    backup-20060908-162340-375
    O4 - HKLM\..\Run: [Upnp] c:\docume~1\clgvic~1\locals~1\temp\a5.tmp
    backup-20060908-162340-561
    O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\cmd32.exe internat.dll,LoadKeyboardProfile
    backup-20060908-162340-738
    O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - C:\WINDOWS\System32\ipv6monl.dll
    backup-20060908-162340-161
    O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\xxyxxyy.dll
    backup-20060908-162340-913
    O2 - BHO: Acrobat IE Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE083} - C:\WINDOWS\system\ctldlg32.dll
    backup-20060908-162340-814
    O16 - DPF: {3CA6DFF6-C6B0-11D4-8035-0050BF0BA18C} (BMSPX Control) - http://www.avidacom.com/bmspx.cab
    backup-20060908-162029-968
    O1 - Hosts: 84.252.148.18 www.barclays.com
    backup-20060908-162029-996
    O1 - Hosts: 84.252.148.18 barclays.com
    backup-20060908-162029-178
    O1 - Hosts: 84.252.148.18 www.barclays.pt
    backup-20060908-162029-367
    O1 - Hosts: 84.252.148.18 barclays.pt
    backup-20060908-162029-267
    O1 - Hosts: 84.252.148.18 www.barclays.pt
    backup-20060908-162029-833
    O1 - Hosts: 84.252.148.18 barclays.pt
    backup-20060908-162029-135
    O1 - Hosts: 84.252.148.18 www.citi.com
    backup-20060908-162029-902
    O1 - Hosts: 84.252.148.18 citi.com
    backup-20060908-162029-289
    O1 - Hosts: 84.252.148.18 www.citibank.com
    backup-20060908-162029-659
    O1 - Hosts: 84.252.148.18 citibank.com
    backup-20060908-162029-346
    O1 - Hosts: 84.252.148.18 www.etrade.com
    backup-20060908-162029-411
    O1 - Hosts: 84.252.148.18 etrade.com
    backup-20060908-162029-584
    O1 - Hosts: 84.252.148.18 www.neteller.com
    backup-20060908-162029-595
    O1 - Hosts: 84.252.148.18 neteller.com
    backup-20060908-162029-371
    O1 - Hosts: 84.252.148.18 tcfbank.com
    backup-20060908-162029-236
    O1 - Hosts: 84.252.148.18 www.tcfbank.com
    backup-20060908-162029-375
    O1 - Hosts: 84.252.148.18 hsbc.com
    backup-20060908-162029-958
    O1 - Hosts: 84.252.148.18 www.hsbc.com
    backup-20060908-162029-193
    O1 - Hosts: 84.252.148.18 hsbc.co.uk
    backup-20060908-162029-503
    O1 - Hosts: 84.252.148.18 www.hsbc.co.uk
    backup-20060908-162029-839
    O1 - Hosts: 84.252.148.18 aol.com
    backup-20060908-162029-893
    O1 - Hosts: 84.252.148.18 www.aol.com
    backup-20060908-162029-732
    O1 - Hosts: 84.252.148.18 comerica.com
    backup-20060908-162029-213
    O1 - Hosts: 84.252.148.18 www.comerica.com
    backup-20060908-162029-912
    O1 - Hosts: 84.252.148.18 www.3riversfcu.org
    backup-20060908-162029-769
    O1 - Hosts: 84.252.148.18 3riversfcu.org
    backup-20060908-162029-463
    O1 - Hosts: 84.252.148.18 www.53.com
    backup-20060908-162029-115
    O1 - Hosts: 84.252.148.18 53.com
    backup-20060908-162029-160
    O1 - Hosts: 84.252.148.18 www.bbt.com
    backup-20060908-162029-104
    O1 - Hosts: 84.252.148.18 bbt.com
    backup-20060908-162029-645
    O1 - Hosts: 84.252.148.18 www.boh.com
    backup-20060908-162029-111
    O1 - Hosts: 84.252.148.18 boh.com
    backup-20060908-162029-514
    O1 - Hosts: 84.252.148.18 www.capitalone.com
    backup-20060908-162029-773
    O1 - Hosts: 84.252.148.18 capitalone.com
    backup-20060908-162029-795
    O1 - Hosts: 84.252.148.18 www.cnbwax.com
    backup-20060908-162029-271
    O1 - Hosts: 84.252.148.18 barclays.co.uk
    backup-20060908-162029-749
    O1 - Hosts: 84.252.148.18 www.cwbk.com
    backup-20060908-162029-725
    O1 - Hosts: 84.252.148.18 cwbk.com
    backup-20060908-162029-265
    O1 - Hosts: 84.252.148.18 www.ebay.com
    backup-20060908-162029-909
    O1 - Hosts: 84.252.148.18 ebay.com
    backup-20060908-162029-244
    O1 - Hosts: 84.252.148.18 www.edsefcu.org
    backup-20060908-162029-973
    O1 - Hosts: 84.252.148.18 edsefcu.org
    backup-20060908-162029-550
    O1 - Hosts: 84.252.148.18 egold.com
    backup-20060908-162029-197
    O1 - Hosts: 84.252.148.18 www.egold.com
    backup-20060908-162029-413
    O1 - Hosts: 84.252.148.18 www.e-gold.com
    backup-20060908-162029-296
    O1 - Hosts: 84.252.148.18 e-gold.com
    backup-20060908-162029-648
    O1 - Hosts: 84.252.148.18 www.firstusa.com
    backup-20060908-162029-591
    O1 - Hosts: 84.252.148.18 firstusa.com
    backup-20060908-162029-560
    O1 - Hosts: 84.252.148.18 www.frontierbank.com
    backup-20060908-162029-980
    O1 - Hosts: 84.252.148.18 frontierbank.com
    backup-20060908-162029-905
    O1 - Hosts: 84.252.148.18 www.gncu.org
    backup-20060908-162029-753
    O1 - Hosts: 84.252.148.18 gncu.org
    backup-20060908-162029-309
    O1 - Hosts: 84.252.148.18 www.householdbank.com
    backup-20060908-162029-313
    O1 - Hosts: 84.252.148.18 householdbank.com
    backup-20060908-162029-597
    O1 - Hosts: 84.252.148.18 www.icicibank.com
    backup-20060908-162029-276
    O1 - Hosts: 84.252.148.18 icicibank.com
    backup-20060908-162029-220
    O1 - Hosts: 84.252.148.18 www.mbna.com
    backup-20060908-162029-675
    O1 - Hosts: 84.252.148.18 mbna.com
    backup-20060908-162029-575
    O1 - Hosts: 84.252.148.18 www.mibank.com
    backup-20060908-162029-141
    O1 - Hosts: 84.252.148.18 mibank.com
    backup-20060908-162029-177
    O1 - Hosts: 84.252.148.18 www.midamericabank.com
    backup-20060908-162029-803
    O1 - Hosts: 84.252.148.18 midamericabank.com
    backup-20060908-162029-190
    O1 - Hosts: 84.252.148.18 www.myindymacbank.com
    backup-20060908-162029-701
    O1 - Hosts: 84.252.148.18 myindymacbank.com
    backup-20060908-162029-857
    O1 - Hosts: 84.252.148.18 www.nafcunet.org
    backup-20060908-162029-654
    O1 - Hosts: 84.252.148.18 nafcunet.org
    backup-20060908-162029-263
    O1 - Hosts: 84.252.148.18 www.nationalcity.com
    backup-20060908-162029-436
    O1 - Hosts: 84.252.148.18 nationalcity.com
    backup-20060908-162029-447
    O1 - Hosts: 84.252.148.18 www.cnb.com
    backup-20060908-162029-415
    O1 - Hosts: 84.252.148.18 cnb.com
    backup-20060908-162029-511
    O1 - Hosts: 84.252.148.18 www.nationwide.com
    backup-20060908-162029-210
    O1 - Hosts: 84.252.148.18 www.barclays.co.uk
    backup-20060908-162029-985
    O1 - Hosts: 84.252.148.18 wellsfargo.com
    backup-20060908-162029-947
    O1 - Hosts: 84.252.148.18 www.wellsfargo.com
    backup-20060908-162029-208
    O1 - Hosts: 84.252.148.18 wachovia.com
    backup-20060908-162029-788
    O1 - Hosts: 84.252.148.18 www.wachovia.com
    backup-20060908-162029-350
    O1 - Hosts: 84.252.148.18 southtrust.com
    backup-20060908-162029-407
    O1 - Hosts: 84.252.148.18 www.southtrust.com
    backup-20060908-162029-172
    O1 - Hosts: 84.252.148.18 chase.com
    backup-20060908-162029-450
    O1 - Hosts: 84.252.148.18 disbank.com.tr
    backup-20060908-162029-222
    O1 - Hosts: 84.252.148.18 www.chase.com
    backup-20060908-162029-952
    O1 - Hosts: 84.252.148.18 www.disbank.com.tr
    backup-20060908-162029-873
    O1 - Hosts: 84.252.148.18 kocbank.com.tr
    backup-20060908-162029-144
    O1 - Hosts: 84.252.148.18 www.kocbank.com.tr
    backup-20060908-162029-510
    O1 - Hosts: 84.252.148.18 www.garanti.com.tr
    backup-20060908-162029-809
    O1 - Hosts: 84.252.148.18 garanti.com.tr
    backup-20060908-162029-993
    O1 - Hosts: 84.252.148.18 www.lloydstsb.co.uk
    backup-20060908-162029-235
    O1 - Hosts: 84.252.148.18 lloydstsb.co.uk
    backup-20060908-162029-303
    O1 - Hosts: 84.252.148.18 www.lloydstsb.com
    backup-20060908-162029-563
    O1 - Hosts: 84.252.148.18 lloydstsb.com
    backup-20060908-162029-549
    O1 - Hosts: 84.252.148.18 paypal.com
    backup-20060908-162029-886
    O1 - Hosts: 84.252.148.18 bankofamerica.com
    backup-20060908-162029-555
    O1 - Hosts: 84.252.148.18 www.paypal.com
    backup-20060908-162029-420
    O1 - Hosts: 84.252.148.18 www.halifax.co.uk
    backup-20060908-162029-687
    O1 - Hosts: 84.252.148.18 www.bankofamerica.com
    backup-20060908-162029-580
    O1 - Hosts: 84.252.148.18 www.halifax.com
    backup-20060908-162029-598
    O1 - Hosts: 84.252.148.18 halifax.co.uk
    backup-20060908-162029-405
    O1 - Hosts: 84.252.148.18 bankone.com
    backup-20060908-162029-185
    O1 - Hosts: 84.252.148.18 halifax.com
    backup-20060908-162029-319
    O1 - Hosts: 84.252.148.18 cnbwax.com
    backup-20060908-162029-488
    O1 - Hosts: 84.252.148.18 www.bankone.com

    Completion time: 09/09/2006 15:34:54.11
    ComboFix.txt
    a b 8 Sécurité
    9 Septembre 2006 15:38:48

    Reposte un rapport Hijackthis.
    9 Septembre 2006 15:38:48

    rapport de vundofix :


    VundoFix V6.1.4

    Checking Java version...

    Java version is 1.5.0.6

    Scan started at 14:08:33 09/09/2006

    Listing files found while scanning....

    C:\WINDOWS\system32\awtus.dll
    C:\WINDOWS\system32\sutwa.ini
    C:\WINDOWS\system32\sutwa.bak1
    C:\WINDOWS\system32\sutwa.bak2
    C:\WINDOWS\system32\sutwa.ini2
    C:\WINDOWS\system32\yabyy.dll

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\awtus.dll
    C:\WINDOWS\system32\awtus.dll Could not be deleted.

    Attempting to delete C:\WINDOWS\system32\sutwa.ini
    C:\WINDOWS\system32\sutwa.ini Has been deleted!

    Attempting to delete C:\WINDOWS\system32\sutwa.bak1
    C:\WINDOWS\system32\sutwa.bak1 Has been deleted!

    Attempting to delete C:\WINDOWS\system32\sutwa.bak2
    C:\WINDOWS\system32\sutwa.bak2 Has been deleted!

    Attempting to delete C:\WINDOWS\system32\sutwa.ini2
    C:\WINDOWS\system32\sutwa.ini2 Has been deleted!

    Attempting to delete C:\WINDOWS\system32\yabyy.dll
    C:\WINDOWS\system32\yabyy.dll Has been deleted!

    Performing Repairs to the registry.
    Done!

    VundoFix V6.1.4

    Checking Java version...

    Java version is 1.5.0.6

    Scan started at 14:23:38 09/09/2006

    Listing files found while scanning....

    C:\WINDOWS\system32\awtus.dll
    C:\WINDOWS\system32\sutwa.ini

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\awtus.dll
    C:\WINDOWS\system32\awtus.dll Could not be deleted.

    Attempting to delete C:\WINDOWS\system32\sutwa.ini
    C:\WINDOWS\system32\sutwa.ini Has been deleted!

    Performing Repairs to the registry.
    Done!

    VundoFix V6.1.4

    Checking Java version...

    Java version is 1.5.0.6

    Scan started at 14:32:41 09/09/2006

    Listing files found while scanning....

    C:\WINDOWS\system32\awtus.dll
    C:\WINDOWS\system32\sutwa.ini

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\awtus.dll
    C:\WINDOWS\system32\awtus.dll Could not be deleted.

    Attempting to delete C:\WINDOWS\system32\sutwa.ini
    C:\WINDOWS\system32\sutwa.ini Has been deleted!

    Performing Repairs to the registry.
    Done!

    VundoFix V6.1.4

    Checking Java version...

    Java version is 1.5.0.6

    Scan started at 14:37:22 09/09/2006

    Listing files found while scanning....

    C:\WINDOWS\system32\awtus.dll
    C:\WINDOWS\system32\sutwa.ini

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\awtus.dll
    C:\WINDOWS\system32\awtus.dll Could not be deleted.

    Attempting to delete C:\WINDOWS\system32\sutwa.ini
    C:\WINDOWS\system32\sutwa.ini Has been deleted!

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    Beginning removal...

    Attempting to delete C:\WINDOWS\System32\awtus.dll
    C:\WINDOWS\System32\awtus.dll Could not be deleted.

    Performing Repairs to the registry.
    Done!

    VundoFix V6.1.4

    Checking Java version...

    Java version is 1.5.0.6

    Scan started at 15:12:41 09/09/2006

    Listing files found while scanning....

    C:\WINDOWS\system32\awtus.dll
    C:\WINDOWS\system32\sutwa.ini

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\awtus.dll
    C:\WINDOWS\system32\awtus.dll Could not be deleted.

    Attempting to delete C:\WINDOWS\system32\sutwa.ini
    C:\WINDOWS\system32\sutwa.ini Has been deleted!

    Performing Repairs to the registry.
    Done!

    Beginning removal...
    9 Septembre 2006 15:39:38

    hijackthis :
    Logfile of HijackThis v1.99.1
    Scan saved at 15:39:26, on 09/09/2006
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    C:\Program Files\Symantec AntiVirus\DefWatch.exe
    C:\Program Files\ewido anti-malware\ewidoctrl.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    C:\Program Files\Ultravnc\winvnc.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
    C:\PROGRA~1\SYMANT~1\vptray.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\DAP\DAP.EXE
    C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\WINDOWS\System32\wbem\wmiprvse.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Telechargement\scanner.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Académie de ROUEN
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.127.164.1:3128
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\\vptray.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [ProxyWay] C:\Program Files\ProxyWay\proxyway.exe
    O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
    O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
    O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.ac-rouen.fr/gestion/accueil.php
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
    O20 - Winlogon Notify: emul65 - C:\WINDOWS\SYSTEM32\emul65.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\Ultravnc\winvnc.exe" -service (file missing)

    a b 8 Sécurité
    9 Septembre 2006 15:48:59

    Plus de Vundo :youpi:

    C:\WINDOWS\SYSTEM32\emul65.dll
    -> bizarre...

    Citation :
    - Assure toi d'avoir accès aux dossiers/fichiers cachés
    -> Démarrer
    -> Panneau de configuration
    -> Options des Dossiers, onglet Affichage :
    . Clique sur Afficher les dossiers cachés
    . Décoche Masquer les extensions des fichiers dont le type est connu
    . Décoche Masquer les fichiers protégés du système d'exploitation


    Va sur le site de VirusTotal
    Clique sur Parcourir... puis ouvre:

    C:\WINDOWS\SYSTEM32\emul65.dll

    Si tu vois ce message:

    " Your file " ***.*** " is queued in position: ***. Estimated start time is between *** and *** minutes. "
    Il te faudra patienter.

    Clique ensuite sur Send
    Poste le rapport en fin d'analyse.
    9 Septembre 2006 15:50:26

    oué quand j'ai lancé le virus en ligne de secuser ça ma mis a chaque fois erreur internet explorer sur le fichier emul65.dll et internet explorer se fermé, je vai aller voir virustotal et posté le rapport
    9 Septembre 2006 15:53:14

    Il ne m'a plu l'air bon le site virustotal ça fait
    This page is parked free, courtesy of GoDaddy.com
    et des liens sponsorisé en dessous
    9 Septembre 2006 15:56:00

    mais de toute façon le fichier C:\WINDOWS\SYSTEM32\emul65.dll il existe pas sur mon pc
    a b 8 Sécurité
    9 Septembre 2006 16:04:25

    Telecharge Hoster
    http://www.funkytoad.com/download/hoster.zip
    Ensuite, tu le dézippes sur ton bureau.

    Lance Hoster - Toadbee et clique sur " Restore original Hosts "

    Retente VirusTotal.

    Au lieu de faire parcourir, tu colle l'emplacement du fichier dans la case.
    9 Septembre 2006 16:13:35

    j'ai fait restore hosts
    j'ai ressayé d'aller sur le site virustotal, j'ai ça :
    a b 8 Sécurité
    9 Septembre 2006 16:17:10

    On passe un coup d'antispy puissant.

  • Télécharge SpySweeper (de Webroot, version d'essai de 14 jours) :

    -Clique sur "Télécharger la version test".
    -Installe le programme en choississant "installation standard".
    -Accepte le redémarrage
    -L'option de le mettre à jour s'affichera, acceptes la mise à jour
    -Lorsque les mises à jour seront installées, dans colonne de gauche clique sur l'onglet Options puis analyse.
    -Sous Eléments à analyser et Autres options coche toutes les cases.
    -Ferme SpySweeper

    La suite étant faite en mode sans échec, imprime ou copie/colle dans un fichier texte les instructions suivantes

  • Redémarre en mode sans échec : au redémarrage, tapotes immédiatement la touche F8, tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

  • Démarre SpySweeper
    -Clique Analyser sur la gauche puis sur Démarrer l'analyse.
    -Quand le scan est terminé, clique sur Suivant.
    -Assure-toi que tous les éléments trouvés sont tous cochés, puis clic sur Suivant.
    -Tous les éléments cochés seront alors mis en quarantaine.
    -Dans "Récapitulatif", sélectionne en bas Afficher le journal de session puis Enregistrer dans un fichier afin de sauvegarder le rapport.

  • Redémarre normalement

  • Désinstalle SpySweeper à partir de ajout/suppression de programme sauf si tu veux continuer l'évaluation pendant 15 jours.

  • Copie/colle le rapport de SpySweeper ici
    9 Septembre 2006 17:22:19

    Bonjour testeur115, bonjour Angeldark,

    Citation :
    O20 - Winlogon Notify: emul65 - C:\WINDOWS\SYSTEM32\emul65.dll
    --> infection Haxdoor

    si SpySweeper la vire pas, faudra utiliser Haxfix

    Citation :
    mais de toute façon le fichier C:\WINDOWS\SYSTEM32\emul65.dll il existe pas sur mon pc
    --> emul65.dll est toujours là sinon HijackThis mettrait "file missing"
    a b 8 Sécurité
    9 Septembre 2006 17:25:12

    :hello:  Esteban,

    J'ai compri pourquoi il n'y avait rien sur castlecops !

    J'ai bien colle :
    emul65.dll
    mais en validant j'ai appuye sur *

    Merci de l'avoir vu, je commencais a devenir vous avec ce emule65 ;) 
    a b 8 Sécurité
    9 Septembre 2006 17:27:40

    Je prend de l'avance.

    Si en faisant un rapport Hijackthis tu as exactement cette ligne :
    C:\WINDOWS\SYSTEM32\emul65.dll

    Alors :

    Télécharger haxfix.exe[/color]
    et le sauvegarde sur le bureau.
  • Double cliquer sur haxfix.exe pour installer haxfix. (l'installation standard est c:\program Files\haxfix)
  • Cocher "Create a desktop icon"
  • Cliquer "Next"
  • Quand l'installation est terminée, s'assurer que "Launch HaxFix" est coché
  • Cliquer "Finish"

    Une "fenêtre DOS" à fond rouge s'ouvre avec les options suivantes:
    1. Make logfile (créer un rapport)
    2. Run auto fix (lancer la réparation en mode automatique)
    3. Run manual fix (lancer la réparation en mode manuel)
    E. Exit Haxfix (quitter Haxfix)

  • Selectionner l'option 1. Make logfile en tapant 1 puis taper "Entrée"
  • Haxfix va analyser le système. Quand il a fini, un rapport s'ouvrira: haxlog.txt > (c:\haxlog.txt)
  • Copier le contenu de ce rapport et l'inclure (coller) dans votre réponse.
    9 Septembre 2006 17:35:54

    Angeldark a dit :
    :hello:  Esteban,

    J'ai compri pourquoi il n'y avait rien sur castlecops !

    J'ai bien colle :
    emul65.dll
    mais en validant j'ai appuye sur *

    Merci de l'avoir vu, je commencais a devenir vous avec ce emule65 ;) 
    ça m'étonnait aussi que ça t'ait échappé :clin: 
    a b 8 Sécurité
    9 Septembre 2006 17:38:40

    ça m'étonnait aussi que ça t'ait échappé :clin: 
    -> arrete tu vas me faire rougir :p 
    9 Septembre 2006 17:45:31

    ok me revoila lol, un peu long le spysweeper donc voici son rapport :
    17:37: Processus de suppression lancé. Durée 00:01:03
    17:37: Mise en quarantaine de toutes les traces : dfm-mind_spamrelayer
    17:37: Mise en quarantaine de toutes les traces : trojan-backdoor-adagoe
    17:37: Mise en quarantaine de toutes les traces : reliablestats cookie
    17:37: Mise en quarantaine de toutes les traces : weborama cookie
    17:37: Mise en quarantaine de toutes les traces : enhance cookie
    17:37: Mise en quarantaine de toutes les traces : 247realmedia cookie
    17:37: Mise en quarantaine de toutes les traces : serving-sys cookie
    17:37: Mise en quarantaine de toutes les traces : atwola cookie
    17:37: Mise en quarantaine de toutes les traces : bs.serving-sys cookie
    17:37: Mise en quarantaine de toutes les traces : xiti cookie
    17:37: Avertissement: Failed to delete profile shadow file "C:\WINDOWS\Temp\SST10F.tmp". Reason: Le fichier spécifié est introuvable
    17:37: Avertissement: Failed to delete profile shadow file ".log". Reason: Le fichier spécifié est introuvable
    17:37: Avertissement: Failed to delete profile shadow file "C:\WINDOWS\Temp\SSTFF.tmp". Reason: Le fichier spécifié est introuvable
    17:37: Avertissement: Failed to delete profile shadow file ".log". Reason: Le fichier spécifié est introuvable
    17:37: Avertissement: Failed to delete profile shadow file "C:\WINDOWS\Temp\SSTEF.tmp". Reason: Le fichier spécifié est introuvable
    17:37: Avertissement: Failed to delete profile shadow file ".log". Reason: Le fichier spécifié est introuvable
    17:37: Mise en quarantaine de toutes les traces : hotbar
    17:37: Avertissement: Failed to delete profile shadow file "C:\WINDOWS\Temp\SSTD5.tmp". Reason: Le fichier spécifié est introuvable
    17:37: Avertissement: Failed to delete profile shadow file ".log". Reason: Le fichier spécifié est introuvable
    17:36: Avertissement: Failed to delete profile shadow file "C:\WINDOWS\Temp\SSTC5.tmp". Reason: Le fichier spécifié est introuvable
    17:36: Avertissement: Failed to delete profile shadow file ".log". Reason: Le fichier spécifié est introuvable
    17:36: Mise en quarantaine de toutes les traces : cws-aboutblank
    17:36: Mise en quarantaine de toutes les traces : prosearch.com hijack
    17:36: Mise en quarantaine de toutes les traces : trojan-phisher-metafisher
    17:36: Mise en quarantaine de toutes les traces : trojan agent winlogonhook
    17:36: Mise en quarantaine de toutes les traces : security2k hijacker
    17:36: Processus de suppression lancé.
    17:36: Traces trouvées : 34
    17:36: Analyse complète terminée. Durée 01:10:54
    17:36: Analyse des fichiers terminée, temps passé : 01:08:30
    17:36: Avertissement: Failed to access drive D:
    17:35: portugues.language (ID = 166442)
    17:32: polski.language (ID = 61677)
    17:32: russian.language (ID = 61680)
    17:32: german.language (ID = 61675)
    17:32: swedish.language (ID = 61682)
    17:32: romanian.language (ID = 61679)
    17:32: spanish.language (ID = 61681)
    17:32: dutch.language (ID = 61669)
    17:32: french.language (ID = 61671)
    17:32: english.language (ID = 61670)
    17:32: arabic.language (ID = 61667)
    17:14: geowhere.lnk (ID = 61674)
    17:12: geowhere.lnk (ID = 61674)
    17:12: geowhere.lnk (ID = 61674)
    17:12: Trouvé Adware: geowhere
    17:11: Avertissement: Failed to open file "c:\documents and settings\administrateur\local settings\application data\microsoft\windows\usrclass.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    17:11: Avertissement: Failed to open file "c:\documents and settings\administrateur\local settings\application data\microsoft\windows\usrclass.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    17:11: Avertissement: Failed to open file "c:\documents and settings\administrateur\ntuser.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    17:11: Avertissement: Failed to open file "c:\documents and settings\administrateur\ntuser.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    16:56: ctldlg32.dll (ID = 318754)
    16:56: Trouvé Trojan Horse: dfm-mind_spamrelayer
    16:39: z152560.exe (ID = 350)
    16:39: Avertissement: Failed to open file "c:\windows\system32\config\systemprofile\application data\webroot\spy sweeper\data\settings.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    16:39: Avertissement: Failed to open file "c:\windows\system32\config\default". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    16:39: Avertissement: Failed to open file "c:\windows\system32\config\software". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    16:39: Avertissement: Failed to open file "c:\windows\system32\config\system". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    16:39: Avertissement: Failed to open file "c:\windows\system32\config\security.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    16:39: Avertissement: Failed to open file "c:\windows\system32\config\sam.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    16:39: Avertissement: Failed to open file "c:\windows\system32\config\sam". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    16:39: Avertissement: Failed to open file "c:\windows\system32\config\security". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    16:39: Avertissement: Failed to open file "c:\windows\system32\config\default.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    16:39: Avertissement: Failed to open file "c:\windows\system32\config\software.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    16:39: Avertissement: Failed to open file "c:\windows\system32\config\system.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    16:28: ynp2560.exe (ID = 350)
    16:28: Trouvé Trojan Horse: trojan-backdoor-adagoe
    16:27: Démarrage de l’analyse des fichiers
    16:27: Avertissement: Failed to open file "c:\pagefile.sys". Accès refusé
    16:27: Analyse des cookies terminée, temps passé : 00:00:00
    16:27: clg victor hugo@stats1.reliablestats[2].txt (ID = 3254)
    16:27: Trouvé Spy Cookie: reliablestats cookie
    16:27: clg victor hugo@weborama[2].txt (ID = 3658)
    16:27: Trouvé Spy Cookie: weborama cookie
    16:27: clg victor hugo@c.enhance[1].txt (ID = 2614)
    16:27: Trouvé Spy Cookie: enhance cookie
    16:27: clg victor hugo@247realmedia[1].txt (ID = 1953)
    16:27: Trouvé Spy Cookie: 247realmedia cookie
    16:27: clg victor hugo@serving-sys[1].txt (ID = 3343)
    16:27: Trouvé Spy Cookie: serving-sys cookie
    16:27: clg victor hugo@atwola[1].txt (ID = 2255)
    16:27: Trouvé Spy Cookie: atwola cookie
    16:27: clg victor hugo@bs.serving-sys[2].txt (ID = 2330)
    16:27: Trouvé Spy Cookie: bs.serving-sys cookie
    16:27: clg victor hugo@xiti[1].txt (ID = 3717)
    16:27: Trouvé Spy Cookie: xiti cookie
    16:27: Démarrage de l’analyse des cookies
    16:27: Analyse du Registre terminée, temps passé :00:00:14
    16:27: HKU\WRSS_Profile_S-1-5-21-1996877932-539582026-1745474826-1006\software\microsoft\internet explorer\main\ || search page_bak (ID = 774883)
    16:27: HKU\WRSS_Profile_S-1-5-21-1996877932-539582026-1745474826-1006\software\microsoft\internet explorer\toolbar\shellbrowser\ || {74cc49f7-eb32-4a08-b204-948962a6e3db} (ID = 685412)
    16:27: HKU\WRSS_Profile_S-1-5-21-1996877932-539582026-1745474826-1006\software\microsoft\internet explorer\extensions\cmdmapping\ || {e77eda01-3c56-4a96-8d08-02b42891c169} (ID = 127576)
    16:27: HKU\WRSS_Profile_S-1-5-21-1996877932-539582026-1745474826-1006\software\microsoft\internet explorer\extensions\cmdmapping\ || {946b3e9e-e21a-49c8-9f63-900533fafe14} (ID = 127575)
    16:27: Trouvé Adware: hotbar
    16:27: HKU\WRSS_Profile_S-1-5-21-1996877932-539582026-1745474826-1006\software\microsoft\internet explorer\main\ || search page_bak (ID = 115925)
    16:27: Trouvé Adware: cws-aboutblank
    16:27: HKLM\software\microsoft\internet explorer\main\ || search page_bak (ID = 1250789)
    16:27: Trouvé Adware: prosearch.com hijack
    16:27: HKLM\software\microsoft\windows\currentversion\control panel\load\ (ID = 1150937)
    16:27: Trouvé Trojan Horse: trojan-phisher-metafisher
    16:27: HKLM\software\microsoft\mssmgr\ (ID = 937101)
    16:27: Trouvé Trojan Horse: trojan agent winlogonhook
    16:27: HKLM\software\microsoft\windows\currentversion\explorer\browser helper objecta\ (ID = 735573)
    16:27: Trouvé Adware: security2k hijacker
    16:27: Démarrage de l’analyse du Registre
    16:27: Analyse de la mémoire terminée, temps passé : 00:00:33
    16:26: Démarrage de l’analyse de la mémoire
    16:25: Analyse lancée avec la version des définitions 723
    16:25: Spy Sweeper 5.0.7.1608 démarrée
    16:25: | Début de session, samedi 9 septembre 2006 |
    ********
    16:25: | Fin de session, samedi 9 septembre 2006 |
    16:25: Version du programme : 5.0.7.1608 - Définitions de logiciels espions 723
    16:25: Spy Sweeper 5.0.7.1608 démarrée
    16:25: | Début de session, samedi 9 septembre 2006 |
    ********
    9 Septembre 2006 17:47:08

    et voila le hijackthis donc encore le ptit emule65 donc jvai essayé haxfix :
    Logfile of HijackThis v1.99.1
    Scan saved at 17:46:08, on 09/09/2006
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    C:\Program Files\Symantec AntiVirus\DefWatch.exe
    C:\Program Files\ewido anti-malware\ewidoctrl.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
    C:\PROGRA~1\SYMANT~1\vptray.exe
    C:\Program Files\DAP\DAP.EXE
    C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
    C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
    C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
    C:\Program Files\Ultravnc\winvnc.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\WINDOWS\System32\wbem\wmiprvse.exe
    C:\Telechargement\scanner.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Académie de ROUEN
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.127.164.1:3128
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [AOLDialer] "C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe"
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\\vptray.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP
    O4 - HKLM\..\Run: [AVG7_CC] "C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" /STARTUP
    O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
    O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe"
    O4 - HKCU\..\Run: [ProxyWay] C:\Program Files\ProxyWay\proxyway.exe
    O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
    O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
    O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.ac-rouen.fr/gestion/accueil.php
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
    O20 - Winlogon Notify: emul65 - C:\WINDOWS\SYSTEM32\emul65.dll
    O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
    O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\Ultravnc\winvnc.exe" -service (file missing)

    a b 8 Sécurité
    9 Septembre 2006 17:52:39

    Fais HaxFix (en haut)
    9 Septembre 2006 17:54:33

    oui c'est en cours ;) 
    9 Septembre 2006 17:58:18

    voila :
    HAXFIX logfile - by Marckie
    ______________
    version 4.16
    09/09/2006 17:48:56,63

    checking for haxdoor
    --------------------
    checking for a3d files....
    a3d files found
    ps.a3d

    checking for matching notify keys....
    matching notify keys found
    emul65

    checking for matching services....
    matching services found
    CmBatt
    emul65
    emul37

    checking for matching safeboot services....
    matching safeboot services found
    emul65.sys
    emul37.sys

    checking for other haxdoorfiles....


    Checking for goldun
    -------------------
    checking for notify keys....
    no notify keys found

    checking for services....
    no services found

    checking for other goldunfiles....


    Finished
    a b 8 Sécurité
    9 Septembre 2006 18:05:32

    HaxDoor effectivement :) 

  • Ouvrir le dossier C:\Program Files\haxfix et double-cliquer sur fix.bat
    (ou double-cliquer sur l'icone du bureau fix.bat )
  • Fermer toutes les autres fenêtres, car Haxfix re-démarerra le système.
  • Selectionner l'option 2. Run auto fix en tapant 2 puis "Entrée"
    si une infection est trouvée, Vous aurez un message demandant de fermer toutes les autres fenêtres ouvertes.

  • Fermer toutes les autres fenêtres sauf la fenêtre à fond rouge de haxfix puis taper "Entrée"
  • La machine sera re-démarrée
  • En fin de re-démarrage un rapport s'ouvrira > (c:\haxfix.txt)
  • Poster le contenu de ce rapport ainsi qu'un nouveau rapport HijackThis .
    9 Septembre 2006 18:14:18

    rapport haxfix :
    HAXFIX logfile - by Marckie
    --------------
    version 4.16
    09/09/2006 18:07:00,99

    --- Auto Haxdoorfix ---


    searching for files:


    searching for services....
    service emul65 found
    [SWSC] DeleteService SUCCESS
    service emul37 found
    [SWSC] DeleteService SUCCESS


    --- Goldunfix ---


    searching for files:

    searching for notifykeys:
    no notifykeys found

    searching for services:
    no services found


    .....rebooting the computer.....


    searching for notifykeys

    notifykey emul65 not found


    searching for services

    service emul65 not found
    service emul37 not found


    searching for safeboot services

    safeboot service emul65.sys not found
    safeboot service emul37.sys not found


    searching for files

    emul65.dll exists
    deleting emul65.dll
    emul65.dll has been deleted

    emul37.sys exists
    deleting emul37.sys
    emul37.sys has been deleted

    emul65.sys exists
    deleting emul65.sys
    emul65.sys has been deleted


    checking for other files

    qy.sys exists
    deleting qy.sys
    qy.sys has been deleted

    qz.dll exists
    deleting qz.dll
    qz.dll has been deleted

    qz.sys exists
    deleting qz.sys
    qz.sys has been deleted

    x8.xxd exists
    deleting x8.xxd
    x8.xxd has been deleted

    zxcsedr.dll exists
    deleting zxcsedr.dll
    zxcsedr.dll has been deleted


    checking for a3d files

    ps.a3d
    deleting a3d files
    a3d files are deleted


    Finished










    --------------------------
    rapport hijackthis :
    Logfile of HijackThis v1.99.1
    Scan saved at 18:14:03, on 09/09/2006
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    C:\Program Files\Symantec AntiVirus\DefWatch.exe
    C:\Program Files\ewido anti-malware\ewidoctrl.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
    C:\PROGRA~1\SYMANT~1\vptray.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
    C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
    C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
    C:\Program Files\Ultravnc\winvnc.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Webroot\Spy Sweeper\SSU.EXE
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Telechargement\scanner.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Académie de ROUEN
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.127.164.1:3128
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [AOLDialer] "C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe"
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\\vptray.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP
    O4 - HKLM\..\Run: [AVG7_CC] "C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" /STARTUP
    O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
    O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe"
    O4 - HKCU\..\Run: [ProxyWay] C:\Program Files\ProxyWay\proxyway.exe
    O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
    O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
    O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.ac-rouen.fr/gestion/accueil.php
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
    O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
    O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\Ultravnc\winvnc.exe" -service (file missing)

    a b 8 Sécurité
    9 Septembre 2006 18:18:59

    Good !

    Si tu n'as plus de problemes :

    Rapporte tes infections ca serait sympas pour nous.
    Infections = VUNDO + HAXDOOR

    Dénonce ton infection pour faire condamner les auteurs.
    Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être le plus nombreux possibles, alors rends compte de ton infection :
    - Voir les règles du forum : http://www.malwarecomplaints.info/viewtopic.php?t=5
    - Après t'être enregistré à l'aide du bouton en haut se nommant "Register"
    Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
    Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"

    Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).
    Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..)
    ---> http://www.malwarecomplaints.info/viewforum.php?f=10
    Plus d'informations ici

    - Consulte ces pages pour éviter que ces problèmes ne réapparaissent pas :

    http://gerard.melone.free.fr/IT/IT-AM0.html
    http://www.malekal.com/securiser_ordinateur.html

    Merci à Malekal pour le passage sur Malware-Complaints.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS