| | kay |  Posté le 13/08/2007 @ 14:35 | Petite astucienne
227 Messages
| Bonjour les astuciens, J'aurais grand besoin de votre aide car en surfant il m'est apparu le message suivant : 
Puis j'ai eu un second message (je précise que ce message revient régulièrement sur mon bureau) : Windows Security Alert
Potential Spyware Operation. your computer is making unauthorized copies of your system and internet files. Suite à cela j'ai fait un scan avec Adaware dont voici le rapport :
Rapport Ad aware :
Ad-Aware SE Build 1.06r1
Fichier journal créé le :lundi 13 août 2007 13:29:46
Created with Ad-aware SE Personal, free for private use.
Utilisation du fichier de définitions :SE1R187 13.08.2007
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Références détectées lors de l’analyse :
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Adware.IEHlpr(Index TAC :3):2 Nombre total de références
MRU List(Index TAC :0):15 Nombre total de références
Windows(Index TAC :3):3 Nombre total de références
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Ad-Aware SE Settings
===========================
Définir : Rechercher les entrées à risque négligeable
Définir : Mode sécurisé (tjrs demander confirm.)
Définir : Analyser les processus actifs
Définir : Scan registry
Définir : Analyser en profondeur le registre
Définir : Analyser mes favoris IE pour rech. URL interdites
Définir : Analyser mon fichier Hosts
Extended Ad-aware SE Settings
===========================
Définir : Décharger les modules et les processus reconnus pendant l’analyse
Définir : Anal. reg. pr tous utili. et non pr utili. actuel uniqmnt
Définir : Toujours essayer de décharger les modules avant la suppression
Définir : Lors de la suppression, décharger l’Explorateur et IE si nécessaire
Définir : Perm. Win. supp. fich. en cours au proch. démar.
Définir : Supprimer les objets en quarantaine après la restauration
Définir : Inclure les paramètres de base d'Ad-Aware dans le fichier journal
Définir : Inclure les paramètres de base d'Ad-Aware dans le fichier journal
Définir : Inclure un récapitulatif des références dans le fichier journal
Définir : Inclure les détails des données ADS dans le fichier journal
Définir : Émettre un son à la fin de l’analyse en cas de détection d'objets critiques
13-08-2007 13:29:46 - L’analyse a démarré. (Mode accéléré)
Affichage des processus en cours d'exécution
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 460
ThreadCreationTime : 13-08-2007 07:08:41
BasePriority : Normal
#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 528
ThreadCreationTime : 13-08-2007 07:08:44
BasePriority : Normal
#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 556
ThreadCreationTime : 13-08-2007 07:08:47
BasePriority : High
#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 604
ThreadCreationTime : 13-08-2007 07:08:50
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Système d'exploitation Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Applications Services et Contrôleur
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Tous droits réservés.
OriginalFilename : services.exe
#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 616
ThreadCreationTime : 13-08-2007 07:08:50
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe
#:6 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 772
ThreadCreationTime : 13-08-2007 07:08:52
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:7 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 824
ThreadCreationTime : 13-08-2007 07:08:52
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:8 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 864
ThreadCreationTime : 13-08-2007 07:08:53
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:9 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 916
ThreadCreationTime : 13-08-2007 07:08:53
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:10 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1012
ThreadCreationTime : 13-08-2007 07:08:54
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:11 [vsmon.exe]
FilePath : C:\WINDOWS\system32\ZoneLabs\
ProcessID : 1060
ThreadCreationTime : 13-08-2007 07:08:54
BasePriority : Normal
FileVersion : 7.0.337.000
ProductVersion : 7.0.337.000
ProductName : TrueVector Service
CompanyName : Zone Labs, LLC
FileDescription : TrueVector Service
InternalName : vsmon
LegalCopyright : Copyright © 1998-2006, Zone Labs, LLC
OriginalFilename : vsmon.exe
#:12 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 1180
ThreadCreationTime : 13-08-2007 07:08:55
BasePriority : Normal
FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 6.00.2900.2180
ProductName : Système d'exploitation Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Explorateur Windows
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Tous droits réservés.
OriginalFilename : EXPLORER.EXE
#:13 [ccsetmgr.exe]
FilePath : C:\Program Files\Fichiers communs\Symantec Shared\
ProcessID : 1388
ThreadCreationTime : 13-08-2007 07:08:59
BasePriority : Normal
FileVersion : 104.0.14.2
ProductVersion : 104.0.14.2
ProductName : Client and Host Security Platform
CompanyName : Symantec Corporation
FileDescription : Symantec Settings Manager Service
InternalName : ccSetMgr
LegalCopyright : Copyright (c) 2000-2005 Symantec Corporation. All rights reserved.
OriginalFilename : ccSetMgr.exe
#:14 [ccevtmgr.exe]
FilePath : C:\Program Files\Fichiers communs\Symantec Shared\
ProcessID : 1432
ThreadCreationTime : 13-08-2007 07:09:01
BasePriority : Normal
FileVersion : 104.0.14.2
ProductVersion : 104.0.14.2
ProductName : Client and Host Security Platform
CompanyName : Symantec Corporation
FileDescription : Symantec Event Manager Service
InternalName : ccEvtMgr
LegalCopyright : Copyright (c) 2000-2005 Symantec Corporation. All rights reserved.
OriginalFilename : ccEvtMgr.exe
#:15 [sndsrvc.exe]
FilePath : C:\Program Files\Fichiers communs\Symantec Shared\
ProcessID : 1504
ThreadCreationTime : 13-08-2007 07:09:02
BasePriority : Normal
FileVersion : 6.0.5.506
ProductVersion : 6.0
ProductName : Symantec Security Drivers
CompanyName : Symantec Corporation
FileDescription : Network Driver Service
InternalName : SndSrvc
LegalCopyright : Copyright 2002 - 2006 Symantec Corporation
OriginalFilename : SndSrvc.exe
#:16 [spbbcsvc.exe]
FilePath : C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\
ProcessID : 1516
ThreadCreationTime : 13-08-2007 07:09:02
BasePriority : Normal
FileVersion : 2.1.0.4
ProductVersion : 2.1.0.4
ProductName : SPBBC
CompanyName : Symantec Corporation
FileDescription : SPBBC Service
InternalName : SPBBCSvc
LegalCopyright : Copyright (c) 2004, 2005 Symantec Corporation. All rights reserved.
OriginalFilename : SPBBCSvc.exe
#:17 [symlcsvc.exe]
FilePath : C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\
ProcessID : 1540
ThreadCreationTime : 13-08-2007 07:09:02
BasePriority : Normal
FileVersion : 1.9.1.762
ProductVersion : 1.9.1.762
ProductName : Symantec Core Component
CompanyName : Symantec Corporation
FileDescription : Symantec Core Component
InternalName : symlcsvc
LegalCopyright : Copyright (C) 2003
OriginalFilename : symlcsvc.exe
#:18 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1700
ThreadCreationTime : 13-08-2007 07:09:05
BasePriority : Normal
FileVersion : 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)
ProductVersion : 5.1.2600.2696
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe
#:19 [guard.exe]
FilePath : C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\
ProcessID : 1800
ThreadCreationTime : 13-08-2007 07:09:06
BasePriority : Normal
FileVersion : 7, 5, 1, 22
ProductVersion : 7, 5, 1, 22
ProductName : AVG Anti-Spyware
CompanyName : GRISOFT s.r.o.
FileDescription : AVG Anti-Spyware guard
InternalName : AVG Anti-Spyware guard
LegalCopyright : Copyright © 2007 GRISOFT s.r.o.
OriginalFilename : guard.exe
#:20 [navapsvc.exe]
FilePath : C:\Program Files\Norton AntiVirus\
ProcessID : 1860
ThreadCreationTime : 13-08-2007 07:09:06
BasePriority : Normal
FileVersion : 12.8.0.4
ProductVersion : 12.8.0
ProductName : Norton AntiVirus
CompanyName : Symantec Corporation
FileDescription : Norton AntiVirus Auto-Protect Service
InternalName : NAVAPSVC
LegalCopyright : Norton AntiVirus 2006 for Windows 2000/XP Copyright © 2005 Symantec Corporation. All rights reserved.
OriginalFilename : NAVAPSVC.EXE
#:21 [npfmntor.exe]
FilePath : C:\Program Files\Norton AntiVirus\IWP\
ProcessID : 1900
ThreadCreationTime : 13-08-2007 07:09:06
BasePriority : Normal
FileVersion : 12.8.0.4
ProductVersion : 12.8.0
ProductName : Norton AntiVirus
CompanyName : Symantec Corporation
FileDescription : Norton AntiVirus Firewall Install Monitor
InternalName : NPFMonitor
LegalCopyright : Norton AntiVirus 2006 for Windows 2000/XP Copyright © 2005 Symantec Corporation. All rights reserved.
OriginalFilename : NPFMonitor.EXE
#:22 [nvsvc32.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1936
ThreadCreationTime : 13-08-2007 07:09:07
BasePriority : Normal
FileVersion : 6.14.01.4201
ProductVersion : 6.14.01.4201
ProductName : NVIDIA Driver Helper Service, Version 42.01
CompanyName : NVIDIA Corporation
FileDescription : NVIDIA Driver Helper Service, Version 42.01
InternalName : NVSVC
LegalCopyright : (C) NVIDIA Corporation. All rights reserved.
OriginalFilename : nvsvc32.exe
#:23 [aluschedulersvc.exe]
FilePath : C:\Program Files\Symantec\LiveUpdate\
ProcessID : 1988
ThreadCreationTime : 13-08-2007 07:09:09
BasePriority : Normal
FileVersion : 3.0.0.171
ProductVersion : 3.0.0.171
ProductName : LiveUpdate
CompanyName : Symantec Corporation
FileDescription : Automatic LiveUpdate Scheduler Service
InternalName : Automatic LiveUpdate Scheduler Service
LegalCopyright : Copyright © 1996-2005 Symantec Corporation
OriginalFilename : ALUSchedulerSvc.exe
#:24 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 224
ThreadCreationTime : 13-08-2007 07:09:10
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:25 [tablet.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 312
ThreadCreationTime : 13-08-2007 07:09:10
BasePriority : High
#:26 [wdfmgr.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 396
ThreadCreationTime : 13-08-2007 07:09:11
BasePriority : Normal
FileVersion : 5.2.3790.1230 built by: DNSRV(bld4act)
ProductVersion : 5.2.3790.1230
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Windows User Mode Driver Manager
InternalName : WdfMgr
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : WdfMgr.exe
#:27 [hpsysdrv.exe]
FilePath : C:\windows\system\
ProcessID : 2072
ThreadCreationTime : 13-08-2007 07:09:18
BasePriority : Normal
FileVersion : 1, 7, 0, 0
ProductVersion : 1, 7, 0, 0
ProductName : hpsysdrv
CompanyName : Hewlett-Packard Company
FileDescription : hpsysdrv
InternalName : hpsysdrv
LegalCopyright : Copyright © 1998
OriginalFilename : hpsysdrv.exe
#:28 [shwicon.exe]
FilePath : C:\Program Files\USB Storage RW\
ProcessID : 2088
ThreadCreationTime : 13-08-2007 07:09:18
BasePriority : Normal
FileVersion : 2, 0, 2, 2
ProductVersion : 2, 0, 2, 2
ProductName : shwicon
CompanyName : MyComp
FileDescription : shwicon
InternalName : shwicon
LegalCopyright : Copyright © 2002
OriginalFilename : shwicon.exe
#:29 [kbd.exe]
FilePath : C:\HP\KBD\
ProcessID : 2096
ThreadCreationTime : 13-08-2007 07:09:18
BasePriority : High
#:30 [startmessager.exe]
FilePath : C:\PROGRA~1\MESSAG~1\
ProcessID : 2136
ThreadCreationTime : 13-08-2007 07:09:19
BasePriority : Normal
FileVersion : 3, 1, 0, 9
ProductVersion : 3, 1, 0, 9
ProductName : Demon Messager
CompanyName : France Telecom
FileDescription : StartMessager
InternalName : Demon
OriginalFilename : StartMessager.exe
#:31 [taskbaricon.exe]
FilePath : C:\Program Files\Wanadoo\
ProcessID : 2216
ThreadCreationTime : 13-08-2007 07:09:20
BasePriority : Normal
FileVersion : 5.5 (1)
ProductVersion : 5.5 (1)
ProductName : Kit de Connexion et de Services
CompanyName : France Télécom R&D
FileDescription : Gestion de l'icône de la barre des tâches
InternalName : TaskBarIcon
LegalCopyright : Copyright (C) France Télécom R&D 1999 - 2002
OriginalFilename : TaskBarIcon.exe
#:32 [hpztsb07.exe]
FilePath : C:\WINDOWS\System32\spool\drivers\w32x86\3\
ProcessID : 2228
ThreadCreationTime : 13-08-2007 07:09:20
BasePriority : Normal
FileVersion : 2,140,0,0
ProductVersion : 2,140,0,0
ProductName : HP DeskJet
CompanyName : HP
LegalCopyright : Copyright (c) Hewlett-Packard Company 1999-2002
#:33 [hphmon04.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 2236
ThreadCreationTime : 13-08-2007 07:09:20
BasePriority : Normal
FileVersion : 4,2,41
ProductVersion : 4,2,41
ProductName : hp photosmart
CompanyName : Hewlett-Packard
FileDescription : HPHmon04
InternalName : HPHmon04
LegalCopyright : Copyright (C) 2001
OriginalFilename : HPHmon04.exe
#:34 [hpgs2wnd.exe]
FilePath : C:\Program Files\Hewlett-Packard\HP Share-to-Web\
ProcessID : 2244
ThreadCreationTime : 13-08-2007 07:09:20
BasePriority : Normal
FileVersion : 2,3,0,0\ 162
ProductVersion : 2,3,0,0\ 162
ProductName : Hewlett-Packard hpgs2wnd
CompanyName : Hewlett-Packard
FileDescription : hpgs2wnd
InternalName : hpgs2wnd
LegalCopyright : Copyright © 2001
OriginalFilename : hpgs2wnd.exe
#:35 [ecb-sg.exe]
FilePath : C:\Program Files\e-Carte Bleue\SG\e-Carte Bleue\
ProcessID : 2252
ThreadCreationTime : 13-08-2007 07:09:20
BasePriority : Normal
FileVersion : 2, 2, 1, 0, 93
ProductVersion : 2, 2, 1, 0, 93 (Build_75_CarteBleue_Branch)
ProductName : e-Carte Bleue
CompanyName : Orbiscom Ltd. All rights reserved.
FileDescription : e-Carte Bleue
InternalName : WEBOCARD
LegalCopyright : Copyright © 1999-2002, Orbiscom Ltd.
All rights reserved.
OriginalFilename : WebOCard.EXE
#:36 [point32.exe]
FilePath : C:\Program Files\Microsoft IntelliPoint\
ProcessID : 2264
ThreadCreationTime : 13-08-2007 07:09:20
BasePriority : Normal
#:37 [ccapp.exe]
FilePath : C:\Program Files\Fichiers communs\Symantec Shared\
ProcessID : 2272
ThreadCreationTime : 13-08-2007 07:09:20
BasePriority : Normal
FileVersion : 104.0.14.2
ProductVersion : 104.0.14.2
ProductName : Client and Host Security Platform
CompanyName : Symantec Corporation
FileDescription : Symantec User Session
InternalName : ccApp
LegalCopyright : Copyright (c) 2000-2005 Symantec Corporation. All rights reserved.
OriginalFilename : ccApp.exe
#:38 [totrecsched.exe]
FilePath : C:\Program Files\HighCriteria\TotalRecorder\
ProcessID : 2288
ThreadCreationTime : 13-08-2007 07:09:20
BasePriority : Normal
FileVersion : 6.0
ProductVersion : 6.0
ProductName : Total Recorder
CompanyName : High Criteria inc.
FileDescription : Total Recorder scheduler
InternalName : TotRecSched
LegalCopyright : Copyright © High Criteria inc.,1998-2006
OriginalFilename : TotRecSched.exe
#:39 [jusched.exe]
FilePath : C:\Program Files\Java\jre1.6.0_02\bin\
ProcessID : 2296
ThreadCreationTime : 13-08-2007 07:09:21
BasePriority : Normal
#:40 [ituneshelper.exe]
FilePath : C:\Program Files\iTunes\
ProcessID : 2328
ThreadCreationTime : 13-08-2007 07:09:21
BasePriority : Normal
FileVersion : 7.0.2.16
ProductVersion : 7.0.2.16
ProductName : iTunes
CompanyName : Apple Computer, Inc.
FileDescription : iTunesHelper Module
InternalName : iTunesHelper
LegalCopyright : © 2003-2006 Apple Computer, Inc. All Rights Reserved.
OriginalFilename : iTunesHelper.exe
#:41 [zlclient.exe]
FilePath : C:\Program Files\Zone Labs\ZoneAlarm\
ProcessID : 2340
ThreadCreationTime : 13-08-2007 07:09:21
BasePriority : Normal
FileVersion : 7.0.337.000
ProductVersion : 7.0.337.000
ProductName : ZoneAlarm Client
CompanyName : Zone Labs, LLC
FileDescription : ZoneAlarm Client
InternalName : zlclient
LegalCopyright : Copyright © 1998-2006, Zone Labs, LLC
OriginalFilename : zlclient.exe
#:42 [mnyexpr.exe]
FilePath : C:\Program Files\Microsoft Money\System\
ProcessID : 2368
ThreadCreationTime : 13-08-2007 07:09:22
BasePriority : Normal
FileVersion : 11.00.0716
ProductVersion : 11.00.0716
ProductName : Microsoft Money
CompanyName : Microsoft Corporation
FileDescription : Microsoft Money Express
InternalName : mnyexpr
LegalCopyright : Copyright (C) Microsoft Corp. 1990-2001. All rights reserved.
OriginalFilename : mnyexpr.exe
#:43 [wcescomm.exe]
FilePath : C:\Program Files\Microsoft ActiveSync\
ProcessID : 2396
ThreadCreationTime : 13-08-2007 07:09:23
BasePriority : Normal
FileVersion : 3.7.0.3083
ProductVersion : 3.7.3083
ProductName : Microsoft ActiveSync
CompanyName : Microsoft Corporation
FileDescription : Connection Manager
InternalName : wcescomm
LegalCopyright : Copyright © 1995-2003 Microsoft Corp. All rights reserved.
LegalTrademarks : Microsoft® and Windows® are registered trademarks of Microsoft Corporation.
OriginalFilename : WCESCOMM.EXE
#:44 [rundll32.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 2468
ThreadCreationTime : 13-08-2007 07:09:27
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Système d'exploitation Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Exécuter une DLL en tant qu'application
InternalName : rundll
LegalCopyright : © Microsoft Corporation. Tous droits réservés.
OriginalFilename : RUNDLL.EXE
#:45 [hpgs2wnf.exe]
FilePath : C:\Program Files\Hewlett-Packard\HP Share-to-Web\
ProcessID : 2500
ThreadCreationTime : 13-08-2007 07:09:27
BasePriority : Normal
FileVersion : 2, 6, 0, 162
ProductVersion : 2, 6, 0, 162
ProductName : hpgs2wnf Module
FileDescription : hpgs2wnf Module
InternalName : hpgs2wnf
LegalCopyright : Copyright 2001
OriginalFilename : hpgs2wnf.EXE
#:46 [backweb-137903.exe]
FilePath : C:\Program Files\hp center\137903\Program\
ProcessID : 2508
ThreadCreationTime : 13-08-2007 07:09:27
BasePriority : Normal
#:47 [snagit32.exe]
FilePath : C:\Program Files\TechSmith\SnagIt 8\
ProcessID : 2548
ThreadCreationTime : 13-08-2007 07:09:29
BasePriority : Normal
#:48 [tabuserw.exe]
FilePath : C:\WINDOWS\system32\WTablet\
ProcessID : 2568
ThreadCreationTime : 13-08-2007 07:09:30
BasePriority : Normal
FileVersion : 4.80-6
ProductVersion : 4.80-6
ProductName : Wacom Technology, Corp. TABUSERW
CompanyName : Wacom Technology, Corp.
FileDescription : TABUSERW
InternalName : TABUSERW
LegalCopyright : Copyright © 1997,1998,1999,2000,2001,2002,2003,2004 Wacom Technology, Corp.
OriginalFilename : TABUSERW.EXE
#:49 [imapp.exe]
FilePath : C:\PROGRA~1\INCRED~1\bin\
ProcessID : 2876
ThreadCreationTime : 13-08-2007 07:09:45
BasePriority : Normal
FileVersion : 4, 0, 0, 1930
ProductVersion : 4, 0, 0, 1930
ProductName : IncrediMail
CompanyName : IncrediMail, Ltd.
FileDescription : IncrediMail Application
InternalName : IncrediApp
LegalCopyright : Copyright © 2002 IncrediMail, Ltd.
OriginalFilename : IMAPP.EXE
#:50 [ipodservice.exe]
FilePath : C:\Program Files\iPod\bin\
ProcessID : 3044
ThreadCreationTime : 13-08-2007 07:09:55
BasePriority : Normal
FileVersion : 7.0.2.16
ProductVersion : 7.0.2.16
ProductName : iTunes
CompanyName : Apple Computer, Inc.
FileDescription : iPodService Module
InternalName : iPodService
LegalCopyright : © 2003-2006 Apple Computer, Inc. All Rights Reserved.
OriginalFilename : iPodService.exe
#:51 [alg.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 3144
ThreadCreationTime : 13-08-2007 07:09:59
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Application Layer Gateway Service
InternalName : ALG.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : ALG.exe
#:52 [tschelp.exe]
FilePath : C:\Program Files\TechSmith\SnagIt 8\
ProcessID : 3188
ThreadCreationTime : 13-08-2007 07:10:01
BasePriority : Normal
FileVersion : 1.0.0
ProductVersion : 1, 0, 0, 0
CompanyName : TechSmith Corporation
FileDescription : TechSmith HTML Help Helper
InternalName : TechSmith HTML Help Helper
LegalCopyright : Copyright © 2002-2006 TechSmith Corp. All rights reserved.
OriginalFilename : TscHelp.exe
#:53 [nscsrvce.exe]
FilePath : C:\Program Files\Fichiers communs\Symantec Shared\Security Console\
ProcessID : 3652
ThreadCreationTime : 13-08-2007 07:10:38
BasePriority : Normal
FileVersion : 2006.1.8.2
ProductVersion : 2006.1.8
ProductName : Norton Security Console
CompanyName : Symantec Corporation
FileDescription : Norton Security Console Norton Protection Center Service
InternalName : NSCService
LegalCopyright : Norton Security Console 2006 for Windows 2000/XP Copyright © 2005 Symantec Corporation. All rights reserved.
OriginalFilename : NSCSrvce.exe
#:54 [hphipm11.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 3220
ThreadCreationTime : 13-08-2007 10:49:17
BasePriority : Normal
FileVersion : 4, 5, 0, 770
ProductVersion : 4, 5, 0, 770
ProductName : HP PML
CompanyName : HP
FileDescription : PML Driver
InternalName : PmlDrv
LegalCopyright : Copyright © 1998, 1999 Hewlett-Packard Company
OriginalFilename : PmlDrv.exe
#:55 [winavxx.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 3276
ThreadCreationTime : 13-08-2007 10:52:53
BasePriority : Normal
FileVersion : 1, 0, 0, 1
ProductVersion : 1, 0, 0, 1
ProductName : Anvivirus Application
CompanyName : Microsoft Co
FileDescription : AntiVirus 2007 Pro
InternalName : AntiVirus2007
LegalCopyright : Copyright © 1987-2007 Microsoft Co
OriginalFilename : AVTRAY.EXE
#:56 [invoice.exe]
FilePath : C:\WINDOWS\
ProcessID : 2640
ThreadCreationTime : 13-08-2007 11:01:54
BasePriority : Normal
#:57 [ad-aware.exe]
FilePath : C:\Program Files\Lavasoft\Ad-Aware SE Personal\
ProcessID : 1868
ThreadCreationTime : 13-08-2007 11:29:31
BasePriority : Normal
FileVersion : 6.2.0.236
ProductVersion : SE 106
ProductName : Lavasoft Ad-aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-aware SE Core application
InternalName : Ad-aware.exe
LegalCopyright : Copyright © Lavasoft AB Sweden
OriginalFilename : Ad-aware.exe
Comments : All Rights Reserved
Résultat de l’analyse de la mémoire :
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nouv. obj. critiques : 0
Objets détectés jusqu'à présent : 0
Analyse du registre démarrée
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Adware.IEHlpr Objet reconnu !
Type : Regkey
Données :
Notation TAC : 3
Catégorie : Adware
Commentaire :
Rootkey : HKEY_CLASSES_ROOT
Objet : iehlprobj.iehlprobj
Adware.IEHlpr Objet reconnu !
Type : Regkey
Données :
Notation TAC : 3
Catégorie : Adware
Commentaire :
Rootkey : HKEY_CLASSES_ROOT
Objet : iehlprobj.iehlprobj.1
Windows Objet reconnu !
Type : RegData
Données :
Notation TAC : 3
Catégorie : Vulnerability
Commentaire :
Rootkey : HKEY_USERS
Objet : S-1-5-21-1112347624-2932877117-2725033946-1003\software\microsoft\windows\currentversion\policies\system
Valeur : DisableTaskMgr
Données :
Windows Objet reconnu !
Type : RegData
Données :
Notation TAC : 3
Catégorie : Vulnerability
Commentaire :
Rootkey : HKEY_USERS
Objet : S-1-5-21-1112347624-2932877117-2725033946-1003\software\microsoft\windows\currentversion\policies\system
Valeur : DisableRegistryTools
Données :
Windows Objet reconnu !
Type : RegData
Données : explorer.exe c:\windows\system32\printer.exe
Notation TAC : 3
Catégorie : Vulnerability
Commentaire :
Rootkey : HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows nt\currentversion\winlogon
Valeur : Shell
Données : explorer.exe c:\windows\system32\printer.exe
Résultat de l’analyse du registre :
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nouv. obj. critiques : 5
Objets détectés jusqu'à présent : 5
Analyse approfondie du registre démarrée
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Résultat de l’analyse approfondie du registre :
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nouv. obj. critiques : 0
Objets détectés jusqu'à présent : 5
Analyse des cookies de suivi lancée
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Résultat de l’analyse des cookies de suivi :
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nouv. obj. critiques : 0
Objets détectés jusqu'à présent : 5
Analyse et examen approfondis des fichiers...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Résultat de l’analyse du disque pour C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nouv. obj. critiques : 0
Objets détectés jusqu'à présent : 5
Résultat de l’analyse du disque pour C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nouv. obj. critiques : 0
Objets détectés jusqu'à présent : 5
Résultat de l’analyse du disque pour C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nouv. obj. critiques : 0
Objets détectés jusqu'à présent : 5
Analyse du fichier Hosts…...
Emplacement du fichier Hosts :"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Résultat d’analyse du fichier Hosts :
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
102 entrées analysées.
Nouv. obj. critiques :0
Objets détectés jusqu'à présent : 5
MRU List Objet reconnu !
Emplacement : : C:\Documents and Settings\Propriétaire\recent
Description : list of recently opened documents
MRU List Objet reconnu !
Emplacement : : S-1-5-21-1112347624-2932877117-2725033946-1003\software\jasc\animation shop 3\fileopendialog
Description : list of recently opened files in jasc animation shop
MRU List Objet reconnu !
Emplacement : : S-1-5-21-1112347624-2932877117-2725033946-1003\software\jasc\animation shop 3\recent file list
Description : list of recently used files in jasc animation shop
MRU List Objet reconnu !
Emplacement : : S-1-5-21-1112347624-2932877117-2725033946-1003\software\jasc\animation shop 3\saveasdialog
Description : list of recently saved files in jasc animation shop
MRU List Objet reconnu !
Emplacement : : S-1-5-21-1112347624-2932877117-2725033946-1003\software\microsoft\frontpage\editor
Description : default add image directory for microsoft frontpage
MRU List Objet reconnu !
Emplacement : : S-1-5-21-1112347624-2932877117-2725033946-1003\software\microsoft\frontpage\explorer\navigation\mrulist
Description : list for the navigation feature of microsoft frontpage
MRU List Objet reconnu !
Emplacement : : S-1-5-21-1112347624-2932877117-2725033946-1003\software\microsoft\mediaplayer\medialibraryui
Description : last selected node in the microsoft windows media player media library
MRU List Objet reconnu !
Emplacement : : S-1-5-21-1112347624-2932877117-2725033946-1003\software\microsoft\office\11.0\common\general
Description : list of recently used symbols in microsoft office
MRU List Objet reconnu !
Emplacement : : S-1-5-21-1112347624-2932877117-2725033946-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
Description : list of recent programs opened
MRU List Objet reconnu !
Emplacement : : S-1-5-21-1112347624-2932877117-2725033946-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
Description : list of recently saved files, stored according to file extension
MRU List Objet reconnu !
Emplacement : : S-1-5-21-1112347624-2932877117-2725033946-1003\software\microsoft\windows\currentversion\explorer\recentdocs
Description : list of recent documents opened
MRU List Objet reconnu !
Emplacement : : S-1-5-21-1112347624-2932877117-2725033946-1003\software\nvidia corporation\global\nview\windowmanagement
Description : nvidia nview cached application window positions
MRU List Objet reconnu !
Emplacement : : S-1-5-21-1112347624-2932877117-2725033946-1003\software\realnetworks\realplayer\6.0\preferences
Description : list of recent skins in realplayer
MRU List Objet reconnu !
Emplacement : : S-1-5-21-1112347624-2932877117-2725033946-1003\software\realnetworks\realplayer\6.0\preferences
Description : list of recent clips in realplayer
MRU List Objet reconnu !
Emplacement : : S-1-5-21-1112347624-2932877117-2725033946-1003\software\microsoft\windows media\wmsdk\general
Description : windows media sdk
Analyses conditionnelles en cours...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Résultat d’analyse conditionnelle :
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nouv. obj. critiques : 0
Objets détectés jusqu'à présent : 20
13:35:48 Analyse terminée
Récap. de cette anal.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Durée tot. analyse :00:06:01.562
Objets analysés :116342
Objets identifiés :5
Objets ignorés :0
Nouv. obj. critiques :5
J'ai supprimé tous les objets détectés.
Et un autre avec Spybot : 
J'ai supprimé les 4 premières ligness, mais n'ai pas touché au 3 dernières lignes. J'ai voulu appliquer la procédure de pré-nettoyage d'un pc infecté mais pas moyen de démarrer en mode sans echec. Alors j'ai tout de même passé un coup de CCleaner ainsi que EasyCleaner. Lorsque mon ordi a redémarré, Norton 2006 m'a signalé deux infections :
Norton a détecté et supprimé Trojan.Perfcoo
Norton a détecté Trojan.KillAV (impossible de réparer le fichier, l'accès au fichier a été refusé).
Il a beau supprimer Trojan.Perfcoo mais ce dernier revient sans cesse. Je vous poste au plus vite mon analyse HJT ainsi que celle avec AVG D'avance merci de votre aide car je n'en peux vraiment plus. | | |
| |
| Publicité |
|
| | kay | Posté le 13/08/2007 à 14:58 | Petite astucienne
227 Messages
| Oups dans toutça j'ai oublié de vous donner ma config :
Windows XP Fam (SP2)
Antivirus : Norton 2006
Firewall : zone alarm (version Free) Et voici mon rapport HJT :
Logfile of HijackThis v1.99.1
Scan saved at 14:51:25, on 13/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\system32\printer.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\USB Storage RW\shwicon.exe
C:\HP\KBD\KBD.EXE
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Wanadoo\taskbaricon.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\System32\hphmon04.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\e-Carte Bleue\SG\e-Carte Bleue\ECB-SG.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Microsoft Money\System\mnyexpr.exe
C:\WINDOWS\System32\HPHipm11.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\hp center\137903\Program\BackWeb-137903.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\TechSmith\SnagIt 8\SnagIt32.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Program Files\TechSmith\SnagIt 8\TSCHelp.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Hiajckthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: IEHlprObj Class - {ABCDECF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\vtr372.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [KYE_Showicon] "C:\Program Files\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [WCOLOREAL] "C:\Program Files\Coloreal\coloreal.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\Program Files\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\System32\hphmon04.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [eCarteBleue-SG-P3] "C:\Program Files\e-Carte Bleue\SG\e-Carte Bleue\ECB-SG.exe" /dontopenmycards
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\SymProbe.exe -r "C:\Program Files\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MoneyAgent] "c:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: hp center.lnk = C:\Program Files\hp center\137903\Program\BackWeb-137903.exe
O4 - Global Startup: SnagIt 8.lnk = C:\Program Files\TechSmith\SnagIt 8\SnagIt32.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Save Flash In This Page by Flash Saver - C:\PROGRA~1\FLASHS~1\save.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - C:\PROGRA~1\FLASHS~1\save.htm
O9 - Extra 'Tools' menuitem: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - C:\PROGRA~1\FLASHS~1\save.htm
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\hrum372.txt
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\System32\HPHipm11.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Arrive celui pour AVG... | | | | | Fill | Posté le 13/08/2007 à 14:59 |  Groupe Sécurité
11658 Messages
| Bonjour, - Télécharger smitfraudfix (de S!Ri) sur le bureau.
- Clique sur smitfraudfix.exe
- Choisis l'option 1 et colle dans ta réponse le rapport généré par smitfraudfix. Ce rapport se trouve dans la fenêtre du bloc-note qui s’ouvre.
- Ferme l'application en tapant sur la touche Q.
Fill | | | | | kay | Posté le 13/08/2007 à 15:13 | Petite astucienne
227 Messages
| Merci beaucoup Fill pour ton aide
Voici donc le rapport Smitfraudfix
SmitFraudFix v2.211
Rapport fait à 15:07:22,40, 13/08/2007
Executé à partir de C:\Documents and Settings\Propri‚taire\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\system32\printer.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\USB Storage RW\shwicon.exe
C:\HP\KBD\KBD.EXE
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Wanadoo\taskbaricon.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\System32\hphmon04.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\e-Carte Bleue\SG\e-Carte Bleue\ECB-SG.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Microsoft Money\System\mnyexpr.exe
C:\WINDOWS\System32\HPHipm11.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\hp center\137903\Program\BackWeb-137903.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\TechSmith\SnagIt 8\SnagIt32.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Program Files\TechSmith\SnagIt 8\TSCHelp.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
C:\WINDOWS\system32\printer.exe PRESENT !
C:\WINDOWS\system32\WinAvXX.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
C:\DOCUME~1\PROPRI~1\MENUDM~1\PROGRA~1\DMARRA~1\system.exe PRESENT !
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\autorun.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PROPRI~1\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\system32\\hrum372.txt"
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
pe386 détecté, utilisez un scanner de Rootkit
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 80.10.246.5
DNS Server Search Order: 80.10.246.136
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7379C674-CB5E-4191-A876-9F1BF859F0A1}: NameServer=80.10.246.5 80.10.246.136
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7379C674-CB5E-4191-A876-9F1BF859F0A1}: NameServer=80.10.246.5 80.10.246.136
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
J'ajoute que lors du scan est apparu à plusieurs reprises le message suivant :
Editeur du Registre
La modification du registre a été désactivée par votre administrateur. | | | | | Fill | Posté le 13/08/2007 à 15:21 | Groupe Sécurité
11658 Messages
| Re, On va s'occuper de ceci. - Imprimer ceci.
- Redémarrer l'ordinateur en mode sans échec en tapotant sur F5 (ou F8). L'accès à Internet devient alors impossible.
- Double cliquer sur Smitfraudfix.exe.
- Sélectionner 2 pour supprimer les fichiers responsables de l'infection.
- A la question Voulez-vous nettoyer le registre ?], répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. Le fix déterminera si le fichier wininet.dll est infecté.
- A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.
- Quitter le programme en appuyant sur Q.
- Redémarrer normalement et coller sur le forum le rapport généré.
Edite aussi un nouveau rapport HijackThis. Fill | | | | | kay | Posté le 13/08/2007 à 17:02 | Petite astucienne
227 Messages
| J'ai essayé de faire ce que tu m'as indiqué mais sans succès. A la question voulez-vous nettoyer le registre je rentre O et j'obtiens ceci : La modification du registre a été désactivée par votre administrateur. Puis j'ai le message suivant :
Editeur de Registre
Le fichier spécifié est introuvable.
Voici le rapport :
SmitFraudFix v2.211
Rapport fait à 16:35:21,96, 13/08/2007
Executé à partir de C:\Documents and Settings\Propri‚taire\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
192.168.200.3 ad.doubleclick.net
192.168.200.3 ad.fastclick.net
192.168.200.3 ads.fastclick.net
192.168.200.3 atdmt.com
192.168.200.3 awaps.net
192.168.200.3 banner.fastclick.net
192.168.200.3 banners.fastclick.net
192.168.200.3 click.atdmt.com
192.168.200.3 clicks.atdmt.com
192.168.200.3 engine.awaps.net
192.168.200.3 fastclick.net
192.168.200.3 ftp.avp.ch
192.168.200.3 ftp.kasperskylab.ru
192.168.200.3 updates5.kaspersky-labs.com
192.168.200.3 www.awaps.net
192.168.200.3 www.symantec.com
192.168.200.3 www.viruslist.ru
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» DNS
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Autre problème je n'ai plus accès au Panneau de configuration (il n'apparait plus dans Démarrer) je ne peux plus fair. Lorsque je vais sur Démarrer-poste de travail et afficher les informations système j'ai le message suivant : Cette opération a été annulée en raison de restriction en vigueur sur cet ordinateur. Contactez votre administrateur système. Je n'y comprends plus rien | | | | | Fill | Posté le 13/08/2007 à 17:09 | Groupe Sécurité
11658 Messages
| Re, 1) Télécharge rustbfix (par ejvindh) de l'un de ces deux liens :
Ici ou là.
...et sauvegarde-le sur ton Bureau.
Double clique rustbfix.exe afin de lancer l'outil.
Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi.
Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
Poste (Copie/Colle) le contenu de ces deux rapports, ainsi qu'un nouveau log HijackThis dans ta prochaine réponse.
Fill | | | | | kay | Posté le 13/08/2007 à 17:51 | Petite astucienne
227 Messages
| Je suis en train de faire ce qui est indiqué.
First steep +reboot avec toujours le même message :
Editeur de Registre
La modification du registre a été désactivée par votre administrateur. Lors du premier redémarrage je reste bloquée sur la fenêtre cmd.exe
ligne : C:\\Documents and Settings\Propriétaire>
Rien ne se passe depuis presque 10 minutes est-ce normal ? | | | | | Fill | Posté le 13/08/2007 à 17:53 | Groupe Sécurité
11658 Messages
| Re, Non. Provoque le redémarrage. Fill | | | | | kay | Posté le 13/08/2007 à 18:00 | Petite astucienne
227 Messages
| J'ai tenté en faisant "entrée" mais rien ne se passe, la ligne se recopie... Je ne vois pas quoi faire d'autre car en dehors de cette fenêtre je n'ai qu'un fond bleu. Comment provoquer un redémarrage ? J'ai fini par éteindre via le bouton de l'unité centrale, pas de redémarrage. Je refais un essai voir si ça bloque toujours... Modifié par kay le 13/08/2007 18:13 | | | | | Fill | Posté le 13/08/2007 à 18:14 | Groupe Sécurité
11658 Messages
| Re, Tu fais CTRL+Alt+Supp deux fois. Si ça ne marche pas, tu reste appuyé pendant 5 s sur le bouton de démarrage du PC. Tu attends 10 s puis tu redémarres le PC. Essaie d'éditer le rapport rustbfix et un nouveau rapport HijackThis. Fill | | | | | kay | Posté le 13/08/2007 à 18:15 | Petite astucienne
227 Messages
| Après avoir coupé avec le bouton de l'unité centrale, j'allume de nouveau le pc et tombe sur la même fenêtre cmd.exe rien ne se passe. | | | | | Fill | Posté le 13/08/2007 à 18:16 | Groupe Sécurité
11658 Messages
| Re, Et si tu fermes cette fenêtre, que se passe-t-il ? Le PC ne boote pas du tout ? Fill | | | | | kay | Posté le 13/08/2007 à 18:25 | Petite astucienne
227 Messages
| Rien à faire même avec tes deux solutions je redémarre et me retrouve toujours avec la fenêtre sur fond bleu qui reste bloquée. J'ai fini par fermer ladite fenêtre mais à présent je ne rentre même plus sous Windows. J'obtiens lsans cesse orsque je redémarre un écran tout bleu avec toujours la fenêtre cmd.exe
Modifié par kay le 13/08/2007 18:28 | | | | | Fill | Posté le 13/08/2007 à 18:29 | | < |
|
Multiples infections
